Hallo,
derzeit (bis eben) sind HTTP-Server hinter einer Policy-Regel,
die eine Deep Inspection derselben für HTTP-Zugriffe nach "außen"
(nicht RWTH-Netze) beinhaltet.
Damit sollte der Download von Schadsoftware unterbunden werden.
Aus "historischen" Gründen waren das bisher HTTP-Server.
nicht HTTPS-, SSH- und RDP-Server.
Letzte Vorfälle haben gezeigt, dass wir das ausdehnen wollen.
Damit werden diese Servergruppen ab sofort in dieselbe Gruppe wie die
eduroam-Netzwerke Netzwerke aufgenommen, für die bereits seit
einiger Zeit eine "Deep Inspection" des gesamten nicht verschlüsselten
Traffics gilt.
Dort scheinen wir ganz gute Erfahrungen gemacht zu haben,
auch wenn es dort immer die Möglichkeit von "false positives" gibt.
Sollte also jemand auf seinen Servern Probleme mit Updates
oder dem Betrieb insgesamt bemerken (z.B. Performance,
erhöhte User Beschwerden, ...),
wisst Ihr hoffentlich alle, wenn Ihr zu kontakten habt ;-)
Wir können durchaus auf Ausnahmewünsche (das ist manchmal
insbesondere unter Angabe des Kommunikationspartners sinnvoll)
und auf "false postives" der Deep Inspection flexibel reagieren.
SSL-Traffic (HTTPS, IMAPS, ...) nach außen ist *derzeit*
noch nicht betroffen (s.u.).
Kurz:
wir haben gerade eine "full deep inspection" für ausgehenden
Traffic bei den Servergruppen
rwth-http
rwth-https
rwth-ssh
rwth-msrdp
in Betrieb genommen.
Diese Regelung dehnt den Bereich von von bisher 1008
HTTP-Servern auf 2137 HTTP(S), SSH- und RDP-Server
in einem höheren Sicherheitsniveau aus.
Kleinere Servergruppen werden hier folgen.
Insgesamt haben wir in der RWTH-Firewall 4077 Server registriert.
Gruß, Jens Hektor
P.S.: Die Inspizierung des ausgehenden Verkehrs der Server bedarf
weiterer Schritte, da Schadsoftware mittlerweile zunehmend über HTTPS
verteilt wird.
Dazu werden wir in der RWTH-Firewall eine Certification Authority (CA)
in Betrieb nehmen, die ihrerseits Zertifikate von non-RWTH Servern
aufbricht und als Root-CA (!) re-signiert. (nettes Wortspiel)
Also eine Root-CA.
Dazu wird es nötig sein, dass auf Euren Servern im Certificate Storage
die Root-CA der RWTH Firewall installiert wird. Also ein "bischen"
Aufwand auf 2k+ Maschinen. ;-) Oder besser: auf allen Maschinen,
die Dienste nach aussen anbieten.
Das ist Teil des TODO für 2019. More follows.
P.P.S. Discussion welcome. Ich verstehe, wenn das weh tuen sollte,
aber dazu lassen sich Lösungen finden. Trotzdem: ein go fot feedback!
Wenn jemand über das kommende Aufbrechen von SSL-Verbindungen der Server
nach draußen diskutieren will, schlage ich vor, ein anderes Subject in der
E-Mail zu benutzen. (first come, first serve)
Hallo zusammen,
ich frage mich gerade, warum offenbar etliche Leute dem ITC kein Vertrauen entgegenbringen können oder wollen.
Hab Ihr eigentlich nichts Besseres zu tun?
Grüße,
Matthias Loeck
Hallo zusammen,
sofern nicht selber schon gesehen/-lesen hier [0] FYI
"Downgrade Attack on TLS 1.3 and Vulnerabilities in Major TLS Libraries"
VG
Bernd
[0]
https://www.nccgroup.trust/us/about-us/newsroom-and-events/blog/2019/februa…
--
Bernd Kohler
IT Center
Abteilung: Netze
RWTH Aachen University
Wendlingweg 10
52074 Aachen
Tel: +49 241 80-29793
Fax: +49 241 80-22666
kohler(a)itc.rwth-aachen.de
https://www.itc.rwth-aachen.de
Hallo zusammen,
sofern nicht selber schon gesehen/-lesen hier [0] FYI
" Kritische Lücke in macOS erlaubt Auslesen von Passwörtern"
- Manipulierte Software sei dadurch in der Lage,
sämtliche Zugangsdaten des Nutzers aus der lokalen
Keychain auszulesen – mitsamt der Passwörter im Klartext
- Schwachstelle besteht in macOS bis hin zur aktuellen Version 10.14.3
(einen Patch gebe es bislang nicht)
VG
Bernd
[0]
https://heise.de/-4297437
--
Bernd Kohler
IT Center
Abteilung: Netze
RWTH Aachen University
Wendlingweg 10
52074 Aachen
Tel: +49 241 80-29793
Fax: +49 241 80-22666
kohler(a)itc.rwth-aachen.de
https://www.itc.rwth-aachen.de