Moin, (Das Subject finde ich auch unpassend. Behalte ich nur bei, um den Thread nicht auseinanderzureißen.) On Mon, Feb 11, 2019 at 01:34:00PM +0100, Thomas Vogt wrote:
Das würde ich für 90% der Server (nicht nur die mit Freigaben) sofort nehmen.
Das ist ein interessanter Punkt: Eine Schwäche des aktuellen Ansatzes ist es, dass die Liste der IP-Adressen, auf die DPI angewendet wird, sich daraus ergibt, ob es Port-Freischaltungen für diese IP-Adressen gibt. Gerade in Wohnheimen deckt sich das aber nur teilweise mit den IPs, hinter denen das steckt, was man normalerweise 'Server' nennt. Zum einen gibt es sicherlich eine Menge interner Server, die zwar keine gesonderten Freischaltungen für hereinkommende Verbindungen haben, bei denen es aber sinnvoll wäre, verdächtige herausgehende Verbindungen zu erkennen und ggf. zu blockieren. Andererseits gibt es IP-Adressen, die einzelnen Studierenden zugeordnet sind und eigentlich als Client genutzt werden, die aber vielleicht einen ssh-Port für privaten Fernzugriff, oder einen http-Port für irgendwelche Eigenentwicklungen / Projekte / Tests etc. freigeschaltet haben. Diese genauso wie 'richtige' Server zu behandeln dürfte im Vergleich zu echten Servern mehr Fehlalarme auslösen. Zudem bestehen Privatsphäre-Bedenken (s. das Argument Online-Banking). Gäbe es vielleicht eine Möglichkeit, die beiden Listen getrennt zu pflegen? IIRC ist für IPv6 im RWTH-Netz sowieso gefordert, dass Server und Clients in verschiedene Netzblöcke gepackt werden sollen. Falls der Verwaltungsaufwand für das ITC zu hoch erscheint, einzelne Listen zu pflegen, wäre es vielleicht ein Kompromiss, etwas ähnliches auch für IPv4 vorzusehen? Aufgrund der Adressknappheit wahrscheinlich nicht als komplette Netze realisierbar, aber jedes Wohnheim sollte zumindest in der Lage sein, Ranges von IP-Adressen anzugeben, in denen sich Server befinden. Grüße, Jan