Omezení přístupu do sítě FI MU

Přístup do fakultní sítě je kvůli zvýšení její bezpečnosti omezen. Zjednodušeně lze uvažovat o třech základních skupinách přístupu (s rostoucí důvěryhodností a množstvím přístupných služeb):

  • z Internetu
  • z univerzitní sítě: z adres v doméně muni.cz, tedy z rozsahů adres 147.251.0.0/16 nebo 2001:718:801::/48
  • z fakultní sítě: z adres v doméně fi.muni.cz, tedy z rozsahů adres 147.251.42–53.0/24, 147.251.58.0/24, 172.16.0.0/12 nebo 2001:718:801:200::/56

Na úroveň univerzitní sítě se lze dostat použitím univerzitní VPN. Na úroveň fakultní sítě se lze dostat použitím fakultní VPN (případně univerzitní VPN) nebo použitím SSH tunelů (viz níže; použít univerzitní VPN nestačí) nebo viz také obecně vzdálený přístup ke službám. Privátní sítě (172.20.0.0/12) jsou směrované a dostupné jenom v rámci sítě FI.

Síť FI je segmentována a firewallem kontrolována zpravidla na hranicích daných pro IPv4 bloky C (147.251.n.0/24) a pro IPv6 na hranicích masky /64 (2001:718:801:2nn::/64). Obecně jsou blokovány všechny privilegované porty všech strojů.

Pro případné žádosti o změny na fakultním firewallu kontaktujte unix@fi.muni.cz.

Příklady dostupnosti služeb

Dostupné zvenčí:

  • SSH, IMAP(S), POP3(S) na Aisu a Anxura
  • SMTP s vynucenou autentizaci na relay.fi.muni.cz

Dostupné jen ze sítě MU:

Dostupné jen ze sítě FI (případně její části):

SSH na portech 80, 443

Pokud by váš poskytovatel připojení blokoval komunikaci na port 22, pro zaměstnance FI (a ostatní s přístupem na Anxura) poskytujeme možnost připojení přes port 80 i 443:

home$ ssh -p 80 login@anxur-ssh.fi.muni.cz

Tunelování přes SSH

V případe potřeby připojit se na službu, která je dostupná jenom z fakultní nebo univerzitní sítě, lze využít možností poskytovaných SSH: SOCKS proxy, port forwarding, jump hosts. Viz například dokumentaci ArchLinuxu nebo Gentoo pro popis použití.

Pro tyto účely lze využít například Aisy. Stručné ukázky:

# port forwarding
home$ ssh -L 13306:db.fi.muni.cz:3306 login@aisa.fi.muni.cz
home$ mysql -h localhost -p 13306 -u login -p

# jump hosts
home$ ssh -J login@aisa.fi.muni.cz login@nymfeNN.fi.muni.cz

Blokování IP adres

Z důvodu ochrany služeb poskytovaných sítí FI MU jsou sledovány pokusy o přístup na zakázané porty zakázaných nebo neexistujících strojů. Pokud nějaký stroj opakovaně přistupuje na zakázané porty zakázaných strojů, je jeho chování vyhodnoceno jako pokus o neoprávněné vniknutí do sítě FI MU a přístup z tohoto stroje do sítě FI MU (včetně přístupu k IS MU) je kompletně zablokován, obvykle na 24 hodin. Při opakovaných incidentech je naopak provedena blokace trvalá.

Další systém blokace a blacklisting je pak také provozován na úrovni univerzity.

Jak postupovat v případě blokace

Pokud si myslíte, že je vaše adresa blokována, inspirujte se návodem ISu pro zjištění technických detailů. Blokaci vaší IP adresy na fakultním firewallu si můžete ověřit v aplikaci IP blacklist ve Fakultní administrativě.

O zrušení blokace lze požádat správce, kteří mohou po posouzení okolností blokaci předčasně ukončit. V žádosti o odblokování adresy vždy uvádějte svou vnější IP adresu.