Hallo, derzeit (bis eben) sind HTTP-Server hinter einer Policy-Regel, die eine Deep Inspection derselben für HTTP-Zugriffe nach "außen" (nicht RWTH-Netze) beinhaltet. Damit sollte der Download von Schadsoftware unterbunden werden. Aus "historischen" Gründen waren das bisher HTTP-Server. nicht HTTPS-, SSH- und RDP-Server. Letzte Vorfälle haben gezeigt, dass wir das ausdehnen wollen. Damit werden diese Servergruppen ab sofort in dieselbe Gruppe wie die eduroam-Netzwerke Netzwerke aufgenommen, für die bereits seit einiger Zeit eine "Deep Inspection" des gesamten nicht verschlüsselten Traffics gilt. Dort scheinen wir ganz gute Erfahrungen gemacht zu haben, auch wenn es dort immer die Möglichkeit von "false positives" gibt. Sollte also jemand auf seinen Servern Probleme mit Updates oder dem Betrieb insgesamt bemerken (z.B. Performance, erhöhte User Beschwerden, ...), wisst Ihr hoffentlich alle, wenn Ihr zu kontakten habt ;-) Wir können durchaus auf Ausnahmewünsche (das ist manchmal insbesondere unter Angabe des Kommunikationspartners sinnvoll) und auf "false postives" der Deep Inspection flexibel reagieren. SSL-Traffic (HTTPS, IMAPS, ...) nach außen ist *derzeit* noch nicht betroffen (s.u.). Kurz: wir haben gerade eine "full deep inspection" für ausgehenden Traffic bei den Servergruppen rwth-http rwth-https rwth-ssh rwth-msrdp in Betrieb genommen. Diese Regelung dehnt den Bereich von von bisher 1008 HTTP-Servern auf 2137 HTTP(S), SSH- und RDP-Server in einem höheren Sicherheitsniveau aus. Kleinere Servergruppen werden hier folgen. Insgesamt haben wir in der RWTH-Firewall 4077 Server registriert. Gruß, Jens Hektor P.S.: Die Inspizierung des ausgehenden Verkehrs der Server bedarf weiterer Schritte, da Schadsoftware mittlerweile zunehmend über HTTPS verteilt wird. Dazu werden wir in der RWTH-Firewall eine Certification Authority (CA) in Betrieb nehmen, die ihrerseits Zertifikate von non-RWTH Servern aufbricht und als Root-CA (!) re-signiert. (nettes Wortspiel) Also eine Root-CA. Dazu wird es nötig sein, dass auf Euren Servern im Certificate Storage die Root-CA der RWTH Firewall installiert wird. Also ein "bischen" Aufwand auf 2k+ Maschinen. ;-) Oder besser: auf allen Maschinen, die Dienste nach aussen anbieten. Das ist Teil des TODO für 2019. More follows. P.P.S. Discussion welcome. Ich verstehe, wenn das weh tuen sollte, aber dazu lassen sich Lösungen finden. Trotzdem: ein go fot feedback! Wenn jemand über das kommende Aufbrechen von SSL-Verbindungen der Server nach draußen diskutieren will, schlage ich vor, ein anderes Subject in der E-Mail zu benutzen. (first come, first serve)