N’Abend, Jens Hektor <hektor@itc.rwth-aachen.de> writes:
Kurz:
wir haben gerade eine "full deep inspection" für ausgehenden Traffic bei den Servergruppen
rwth-http rwth-https rwth-ssh rwth-msrdp
in Betrieb genommen.
Finde ich schon nicht gut (insbesondere, da der HTTP-Proxy mir schon ein paar Mal Verbindungen kaputt gemacht hat), aber gut, wer unverschlüsselten Traffic macht ist auch selbst schuld.
P.S.: Die Inspizierung des ausgehenden Verkehrs der Server bedarf weiterer Schritte, da Schadsoftware mittlerweile zunehmend über HTTPS verteilt wird.
Dazu werden wir in der RWTH-Firewall eine Certification Authority (CA) in Betrieb nehmen, die ihrerseits Zertifikate von non-RWTH Servern aufbricht und als Root-CA (!) re-signiert. (nettes Wortspiel) Also eine Root-CA.
Dazu wird es nötig sein, dass auf Euren Servern im Certificate Storage die Root-CA der RWTH Firewall installiert wird. Also ein "bischen" Aufwand auf 2k+ Maschinen. ;-) Oder besser: auf allen Maschinen, die Dienste nach aussen anbieten.
Nein. Das macht Sicherheit mehr kaputt als es hilft. Standards wie HSTS, HPKP, DANE etc. sind nicht umsonst da. Verschlüsselung, die nicht von Ende zu Ende geht, ist höchstens ein ε über nutzlos, wenn nicht schädlich. Darf ich jetzt also für FSMPI oder AStA Studierendenschaftsgelder für VPN oder externe ISPs ausgeben, um noch Internet zu haben, das diese Bezeichnung verdient? --Thomas PS: Das zwingende eingehende Mailrelay fällt übrigens in die selbe Kategorie und ich habe konkrete Fälle, in denen es uns schadet. Sämtliche Tickets dazu wurden mit einer schwammigen bis völlig das Thema verfehlenden Begründung abgewiesen. -- Fachschaft I/1 Mathematik/Physik/Informatik der RWTH Aachen Thomas Schneider Campus Mitte: Augustinerbach 2a, 52062 Aachen Telefon: +49 241 80 94506 Informatikzentrum: Ahornstraße 55, Raum 2014, 52074 Aachen Telefon: +49 241 80 26741 https://www.fsmpi.rwth-aachen.de