Wie allgemein bekannt ist, werden am Netz der TU angeschlossene Rechner permanent von Dritten "gescannt", um Schwachstellen und Sicherheitslücken auszumachen, in die System einzudringen und dort entweder direkt Schaden anzurichten oder diese als "Sprungbretter" für weitere "Aktivitäten" (das Eindringen in andere Rechner oder die Verteilung von z.B. Raubkopien) zu missbrauchen.
Messungen im ITMC-internen Netz haben ergeben, dass sich diese Angriffversuche im fünfstelligen Bereich / Monat bewegen. Immer wieder – mindestens ein Mal pro Woche – kommt es vor, dass diese Versuche irgendwo in der Hochschule erfolgreich sind, zu spürbarer Beeinträchtigung des laufenden Betriebs führen und die angerichteten Schäden nur sehr arbeitsintensiv, oftmals nur unter kompletter Neuinstallation der Systeme, wieder behoben werden können.
Das Gros der Angriffe richtet sich dabei gegen Protokolle und Dienste, die von Microsoft-Betriebssystemen bereitgestellt werden und oftmals sogar unbeabsichtigt bei der Systeminstallation eingerichtet werden. Das ITMC hat daher auf Grund seiner Betriebsverantwortung beschlossen, die gängigen Ports für solche Angriffe an der Schnittstelle zum Wissenschaftsnetz zu blockieren. Dabei wird nur eingehender Verkehr einseitig kontrolliert und gesperrt, so dass der vom Universitätsnetz ausgehende Verkehr nicht betroffen ist.
Im Einzelnen handelt es sich um folgende Ports (jeweils TCP- und UDP-Protokoll):
Diese Ports dienen u.a. auch dem Remotezugriff auf Windowssysteme. Durch die Sperrung wird daher ein derartiger Zugriff von außerhalb des Intranet der Universität nicht mehr auf direkten Weg möglich sein. Für die Nutzer des UniNetzes besteht jedoch weiterhin eine mittelbare Zugriffsmöglichkeit über eine VPN-Verbindung (Virtual Private Network) zum UniNetz.. Hierbei wird vom Clienten, also dem Rechner außerhalb des Intranet, zunächst eine VPN-Verbindung mit entsprechender Authentisierung bei einem VPN-Server in das Netz der Universität aufgebaut, über den der Client dann "Bestandteil" des Hochschulnetzes ist und die gewünschte Verbindung zum Zielrechner herstellen kann. Funktional sind die Unterschiede für die Nutzer gering, jedoch können anonyme Angreifer über VPN keine Angriffe mehr durchführen.
Die meisten Angriffe gehen über die Ports 135 – 139, da hier eine virtuelle Verbindung zwischen den Stationen aufgebaut wird (Datei Sharing oder Freigabe). Hier sind keine "Hackertools" notwendig, eine einfache Netzanalyse mit einem Freeware-Tool reicht aus.
Wenn Rechner gefunden werden, die diese Ports anbieten, wird entweder "händisch" oder meist per "Hackertool" eine Vielzahl von Standard-Usern mit einer Vielzahl von Passwörtern durchprobiert.
Auf den Ports 445, 593 und 3389 wurde mehrfach mit speziellen Tools angegriffen. Dabei muss es sich nicht um Hackertools handeln, sondern meist sind es Werkzeuge, die für die Remote-Verwaltung oder Hilfe benötigt werden.
Ein hierfür nutzbarer VPN-Server wird u.a. bereits vom ITMC im Rahmen der Etablierung der Wireless-LAN Struktur der TU betrieben. Die Berechtigung ist an die Nutzungsberechtigung zum Einwahldienst UniDO-access gekoppelt. Eine VPN-Client Installation ist von jedem Windows-, Unix- oder Mac-Benutzer selbst durchführbar. Informationen und Software zu VPN mit entsprechenden Anleitungen für Nutzer sind zu finden unter:
