[betrieb-aktuell] Sperrung der von NetBIOS verwendeten Ports auch innerhalb des UKLAN

Sebastian Hagedorn Hagedorn at uni-koeln.de
Mon Aug 25 16:12:07 CEST 2003 

Sehr geehrte Damen und Herren,

nach einer sorgfältigen Güterabwägung und nachdem wir von einer Reihe von 
Instituten darum gebeten wurden, haben wir von der bisherigen Hauspolitik 
Abstand genommen, nach der alle Subnetze innerhalb des UKLAN zueinander 
Vertrauensstellung genossen.

Dieser Schritt wurde dadurch unausweichlich, dass es immer häufiger 
vorkommt, dass Würmer sich im UKLAN ausbreiten, zuletzt Blaster-A bzw. 
LoveSAN. Eine Sperre auf der Internet-Anbindung des UKLAN ist dann zwar 
besser als nichts, aber es kam immer wieder vor, dass Rechner innerhalb des 
UKLAN sich über Subnetzgrenzen hinweg gegenseitig infiziert haben. Dagegen 
war mit dem bisherigen Ansatz kein Kraut gewachsen.

Aus diesem Grund haben wir nun auf den Subnetzgrenzen folgende Ports 
gesperrt:

135 (wird von LoveSAN benutzt)
137 NETBIOS Name Service
138 NETBIOS Datagram Service
139 NETBIOS Session Service

Zur Erklärung: NETBIOS ist ein Dienst, der von Windows-PCs u.a. zur 
Namensauflösung verwendet wird.

Es kann und wird durch diese Sperrungen vermutlich zu Problemen bei der 
Verbindung von Windows-Netzwerken mit Samba oder Active Directory über 
Subnetzgrenzen hinweg kommen. Da aber niemand genau sagen kann, welche der 
Ports wo wirklich benötigt werden, haben wir uns entschlossen, zunächst 
alles zu sperren und dann im Einzelfall bei Bedarf gezielte Freigaben 
einzurichten. Wenn Sie konkrete Probleme in Ihrem Windows-Netz feststellen, 
wenden Sie sich bitte zunächst an Ihre oder Ihren Netzbeauftragten, die 
bzw. der dann gemeinsam mit uns überlegen kann, an welchen Stellen die 
genannten Ports ggf. doch wieder geöffnet werden müssen.

Wenn Sie mir eine persönliche Bemerkung erlauben: Diese Entscheidung ist 
mir schwer gefallen, weil ich mir unter einer Universität eine Gemeinschaft 
vorstelle und nicht eine Ansammlung bloß zufällig gemeinsam angesiedelter 
autonomer Einheiten, die sich gegenseitig misstrauen. Diesen Idealismus 
können wir uns aber nicht mehr leisten, wenn er zur Konsequenz hat, dass 
ungezählte Mannstunden dafür aufgewendet werden müssen, immer neu 
nachwachsende Köpfe der Hydra abzuschlagen ...

Ich hoffe Sie haben Verständnis für diesen Schritt, auch wenn er für Sie 
persönlich im ersten Moment Einschränkungen mit sich bringt.

Mit freundlichen Grüßen, Sebastian Hagedorn
--
Sebastian Hagedorn M.A. - RZKR-R1 (Gebäude 52), Zimmer 18
Zentrum für angewandte Informatik - Universitätsweiter Service RRZK
Universität zu Köln / Cologne University - Tel. +49-221-478-5587