Problemkreise einer nicht zulässigen Nutzung
Missbräuchliche Nutzung des Hochschulnetzes der FAU und des Deutschen Wissenschaftsnetzes
Anlage zur Mitteilung des Rechenzentrumsleiters vom 15.01.2002
Nutzung von Filesharing-Produkten zum Austausch von Bild- und Toninformation (Filme und CDs)
Die Nutzung von Filesharing (Peer-to-Peer)-Protokollen (P2P) und deren Software-Produkten wie z.B. Napster, Gnutella, KaZaA, eDonkey und andere haben stark zugenommen. Der Anteil der Filesharing-Daten am gesamten Datenverkehr hat zeitweise schon bis zu 50% betragen. Dabei stellt insbesondere der sorglose Umgang mit diesen Produkten ein Problem dar. Für die aus dem Netz abgerufenen Daten (häufig Copyright-geschützte Daten wie z.B. Audio-Files (MP3), aber auch der Inhalt ganzer DVDs) tritt man (teilweise unbedacht und unbemerkt) gleichzeitig auch wieder als Anbieter dieser Daten im Netz auf. Zudem besteht bei unbedarfter Konfiguration die Gefahr der Lese/Schreibfreigabe weiterer Bereiche der eigenen Festplatte. Einige Produkte enthalten sogar eingebaute Spione.
Leider kommt dabei gerade die breitbandige Netzinfrastruktur im Erlanger Hochschulnetz mit seiner leistungsfähigen Anbindung ans Internet zum Tragen: Netze, die teilweise 100 Mbit/s bis zum Arbeitsplatz ermöglichen, sind natürlich die ideale Umgebung, um schnell und ohne Engpässe Daten von außen abzurufen oder nach außen anzubieten.
Missbrauch von anonymen FTP-Servern
Teilweise werden Bild- und Ton-Daten mithilfe von missbräuchlich benutzten anonymen FTP-Servern zur Verfügung gestellt. In der guten Absicht, für Mitarbeiter Plattenplatz auf zentralen Instituts-Servern zur Verfügung zu stellen, werden diese Bereiche mitunter von außen weltweit und ohne Kontrolle (jeder hat Schreib- und Lese-Rechte) zur Ablage von Daten jeglicher Art missbraucht. Diesem Missbrauch kann man nur durch permanente Kontrolle und sorgfältige Systemadministration vorbeugen. Dienste auf dezentralen Servern sollten sorgfältig geplant und überwacht werden.
Durch Hackerangriffe manipulierte Maschinen
Ein weiterer Teil der nicht zulässigen Netznutzung geht von Maschinen aus, die von Hackern manipuliert wurden. Hier werden Daten über die unterschiedlichsten Dienste und Kanäle nach außen angeboten. Ursache sind in der Regel schlecht gewartete und administrierte Systeme, die "vergessen" in einer Institutsecke ihr Dasein fristen. Diese Maschinen leisten tagsüber durchaus unauffällig die geforderte Funktionalität, aber nachts und an Wochenenden entwickeln sie dann ihr Eigenleben. Auch hier hilft nur eine sorgfältige und kontinuierliche Systemadministration und Überwachung. Besonders betroffen sind zur Zeit Windows-Systeme mit bekannten Sicherheitslücken (z.B. Code Red und Nimda). Zu diesem Problemkreis sind folgende URLs zu empfehlen:
SANS Institute: The Twenty Most Critical Internet Security Vulnerabilities.
Bereitstellung von Servern für nichtwissenschaftliche Zwecke
In einigen Fällen wurden Server durch ihren hohen Datenverkehr auffällig, da diese bewusst oder unbewusst als zentrale Plattform für Spiele oder für eine Fan-Gemeinde eingerichtet wurden. Hier werden die Inhalte von Servern wenig überwacht, die Inhalte, d.h. die Spiele stammen in der Regel nicht aus dem Institutsbereich, der Instituts-Server wird aber zu diesen Zwecken genutzt.
Vom RRZE durchgeführte und vorgesehene Maßnahmen
Monitorstation
Um den Verkehrsfluss besser analysieren zu können, wurde am G-WiN Zugang eine "Monitor"-Station installiert. Damit werden Statistiken angefertigt, aus denen sich der Verkehr von/zu bestimmten Rechnern auf der Basis von IP-Adresse, Port-Nr., Protokolltyp sowie ankommenden und abgehenden Datenmengen ablesen lässt. Auffällige Rechner werden näher untersucht und dem zuständigen Netzverantwortlichen wird gegebenenfalls eine E-Mail geschickt mit der Bitte, das Verhalten zu untersuchen.
Globale Sperrung von Ports
Am Zugang zum G-WiN wurden im letzten Quartal 2001 die Ports der (Filesharing-)Protokolle Napster und Gnutella testweise gesperrt. Da bisher keine Beschwerden bekannt wurden, bestehen die Sperren weiterhin. Es ist zwar hinlänglich bekannt, dass solche Maßnahmen zum Teil unterlaufen werden können, dem unbedarften Benutzer scheint dies jedoch Hindernis genug zu sein. Als Auswirkung hiervon konnte eine wesentliche Abnahme des gesamten Datenverkehrs beobachtet werden. Auch in Zukunft können bei Bedarf weitere Ports gesperrt werden.
Gezielte Sperrung
Wird auf eine Nachricht des RRZE mit einer Warnung vom betreffenden Netzverantwortlichen nicht reagiert, so wird das RRZE in Zukunft Maßnahmen treffen, die das gesamte betroffene Subnetz vom Netzzugang abschneiden. In extremen Fällen kann auch eine sofortige Sperre ohne Ankündigung nötig sein.
Untersuchung von Sicherheitslücken
Um präventiv Rechner vor Hackerangriffen zu schützen, wird sich das RRZE erlauben, gezielt nach Sicherheitslücken in den angeschlossenen Rechnern bzw. Betriebssystemen zu suchen. Die Maßnahmen werden nach Möglichkeit mit den Netzverantwortlichen vorher abgesprochen und so "schonend" wie möglich durchgeführt.
Das RRZE will mit diesen Maßnahmen nicht allgemein als
"Netzpolizei" auftreten, sondern sieht sich auch zu seinem eigenen
Leidwesen im Interesse aller dazu gezwungen, die Nutzung an
gezielten Stellen zu beschränken.
Trotzdem ist es nach wie vor das Bestreben des RRZE,
einen möglichst freizügigen Betrieb zu ermöglichen.
zum Seitenanfang
Navigation ausblenden
