Am 10.02.19 um 19:12 schrieb Thomas Schneider:
Finde ich schon nicht gut (insbesondere, da der HTTP-Proxy mir schon ein paar Mal Verbindungen kaputt gemacht hat), Naja, die Proxies waren ein anderes Konzept. Beim aktuellen sind wir wesentlich flexibler aufgestellt, was die Behandlung von Ausnahmen und das Beheben von False Positives betrifft.
Die Problem mit den Proxies betrafen die Server der FSMPI? Bei aller Aufregung: wir reden hier über Server, die dem Internet ausgesetzt sind. Nicht über User Endsysteme.
aber gut, wer unverschlüsselten Traffic macht ist auch selbst schuld.
Wie zum Beispiel einige Forefront geschützte Systeme für ihre Updates :-) Schon gefixed.
Nein. Das macht Sicherheit mehr kaputt als es hilft. Standards wie HSTS, HPKP, DANE etc. sind nicht umsonst da. Verschlüsselung, die nicht von Ende zu Ende geht, ist höchstens ein ε über nutzlos, wenn nicht schädlich.
Es kommt immer darauf an, was man aufbricht und was nicht. Du hattest das P.P.S. aus Deiner Zitierung gestrichen, aber ich führe das hier mal aus: <spock> Natürlich besteht bei Geräten, deren Genauigkeit so schwer zu steuern ist, die Gefahr von Fehlfunktionen, das muss bedacht werden. </spock> Man sollte seinen Traffic bzw. sein Trafficprofil kennen. Und das lässt sich in eine (Inspection) Policy rein-engineeren. Mir geht es um den Traffic, den man "so nicht erwartet". Mir gehts es nicht darum, um jeden Preis alles zu öffnen, sondern wer mich kennt weiß, dass ich "sozialverträgliche" und den Betrieb nicht störende Maßnahmen bevorzuge. (Die RWTH-Firewall wurde über 15 Jahre dahin entwickelt, dass sie dann bereits war, auch alle Ports zu schlissen). Ähnlich stelle ich mir das hier vor. Es geht darum, die Hochschule unter Berücksichtigung der aktuellen Vorgaben (schon mal DSVGO gelesen? Das häufige Auftauchen der Formulierung "Stand der Technik" wahrgenommen?) *geeignet' aufzustellen. Es geht hier nicht darum, unsere Nutzer auszuspionieren, sondern eher darum, dem ausspionieren unseres Netzes durch Dritte ein paar Steine in den Weg zulegen.
Darf ich jetzt also für FSMPI oder AStA Studierendenschaftsgelder für VPN oder externe ISPs ausgeben, um noch Internet zu haben, das diese Bezeichnung verdient?
<off> Prima, welches Vertrauen dem IT Center entgegen gebracht wird, und erstaunlich, wieviel Vertrauen in die freie Wirtschaft existiert. </off> Kennst Du die Geschäftsmodelle externer VPN-Anbieter? Anyway: hic Rhodos, hic salta.
PS: Das zwingende eingehende Mailrelay fällt übrigens in die selbe Kategorie und ich habe konkrete Fälle, in denen es uns schadet. Sämtliche Tickets dazu wurden mit einer schwammigen bis völlig das Thema verfehlenden Begründung abgewiesen.
Das erklär mir bitte mal per PM. Gruß, Jens Hektor