Offene Protokolle

Protokoll Nummer
ICMP 1
TCP 6 s. u.
UDP 17 s. u.
GRE 47
ESP 50

Freischaltbare Ports ins TUGnet

Vom Rektorat beschlossen, in Umsetzung

Bis auf wenige Ausnahmen (s. u.) sind Ports bzw. Dienste nur eingehend gesperrt:

TCP/UDP-Ports unter 1024

Bestimmte Dienste (Ports) sind nur für zentrale Server geöffnet:

Port Protokoll Dienst
20 TCP, UDP ftp
21 TCP, UDP ftp
25 TCP, UDP smtp
53 TCP, UDP domain
Port Protokoll Dienst
465 TCP, UDP smtps
587 TCP, UDP Mail Submission
873 TCP, UDP rsync
  • Port 25 ist auch outgoing nur für zentrale Server frei gegeben.
  • Port 53 ist outgoing nur für die DNS-Server 8.8.8.8 und 1.1.1.1 (für Geräte, die ohne DHCP bzw. mit fixem DNS innerhalb und außerhalb des TUGnets eingesetzt werden) geöffnet.

Folgende Ports bzw. Dienste werden auf Anfrage durch die EDV-Beauftragten freigeschaltet:

Port Protokoll Dienst
22 TCP ssh, sftp, scp
37 TCP, UDP time
80 TCP http
88 TCP, UDP Kerberos
113 TCP auth
119 TCP nntp
123 TCP, UDP ntp
143 TCP imap, http(s)
280 TCP http-mgmt
443 TCP https
Port Protokoll Dienst
464 TCP, UDP Kerberos
500 UDP IPsec
537 TCP nmsp
554 TCP rtsp
563 TCP nntps
655 TCP, UDP tinc
749 TCP, UDP Kerberos
993 TCP s-imap, http(s)
995 TCP s-pop

Der Rest der Ports/Dienste unter 1024 ist generell gesperrt. Sollten Institute hier Ausnahmen benötigen, so sind diese schriftlich von der Leitung der OE zu beantragen.

TCP/UDP-Ports ab 1024

Folgende Ports/Dienste sind generell gesperrt und werden nur auf schriftlichen Antrag der OE-Leitung frei geschaltet, die anderen auf Anfrage durch die EDV-Beauftragten.
Port Protokoll Schwachstelle
1433 TCP, UDP SQL-Slammer
1434 TCP, UDP SQL-Slammer
1900 TCP, UDP ssdp
1978 UDP Slapper
2002 UDP diverse
3017 TCP NDPS Event Listener
3127 TCP MyDoom
3268 UDP Global LDAP
3269 TCP Global LDAP
3389 TCP, UDP MS Terminal Server
3410 TCP OptixPro Trojan
4156 UDP Slapper
Port Protokoll Schwachstelle
4444 TCP, UDP Blaster
4899 TCP radmin
5000 TCP, UDP diverse
5554 TCP, UDP Sasser
6129 TCP DameWare
8998 UDP Sobig.F
910x TCP Drucker
9996 TCP, UDP Sasser
11211 TCP, UDP Memcached
12345 TCP diverse
31337 UDP Back Orifice
33445 UDP incoming traceroute

Alle offenen Ports werden zusätzlich auch vom IPS überwacht, das auch überprüft, ob bekannte Dienste auf Nicht-Standard-Ports laufen, was dann unterbunden wird. Falls es notwendig ist, bestimmte Dienste auf Nicht-Standard-Ports laufen zu lassen, dann sind auch dafür bestimmte Ports zu verwenden, z. B. für http(s) die Ports 2170, 4343, 4430, 8000, 8080, 8081, 8183, 8181 und 8443. Diese Ports können somit auch auf Anfrage nur für (XML-basierte) http-ähnliche Dienste (wie CalDAV) verwendet werden.

Generell gesperrte Anwendungen

Folgende Anwendungen sind generell gesperrt, egal auf welchem Port sie laufen: tftp, upnp, snmp, ssdp und telnet.

Generell gesperrte Domains

Einige Domains, die Gratis-Webspace anbieten und mehrmals für Phishing-Versuche verwendet wurden, sind dauerhaft und komplett (alle Ports / Protokolle) gesperrt:

  • wix.com
  • webs.com
  • weebly.com

Folgende Domains sind auf Grund der „Freiwilligen Selbstkontrolle der universitären Netze“ gesperrt:

1337x.to, h33t.to, isohunt.to, kinox.am, kinox.me, kinox.nu, kinox.pe, kinox.to, kinox.tv, movie.to, movie.tv, movie2k.cm, movie2k.pe, movie2k.tl, movie2k.tw, movie4k.me, movie4k.to, movie4k.tv, thepiratebay.fm, thepiratebay.gd, thepiratebay.la, thepiratebay.mn, thepiratebay.ms, thepiratebay.mu, thepiratebay.se, thepiratebay.sh, thepiratebay.tw, thepiratebay.vg