Am 11.02.19 um 13:52 schrieb Jan Niehusmann:
Gerade in Wohnheimen deckt sich das aber nur teilweise mit den IPs, hinter denen das steckt, was man normalerweise 'Server' nennt.
Zum einen gibt es sicherlich eine Menge interner Server, die zwar keine gesonderten Freischaltungen für hereinkommende Verbindungen haben, bei denen es aber sinnvoll wäre, verdächtige herausgehende Verbindungen zu erkennen und ggf. zu blockieren.
Wenn die jemand dahinter haben will, muss er das nur sagen.
Andererseits gibt es IP-Adressen, die einzelnen Studierenden zugeordnet sind und eigentlich als Client genutzt werden, die aber vielleicht einen ssh-Port für privaten Fernzugriff, oder einen http-Port für irgendwelche Eigenentwicklungen / Projekte / Tests etc. freigeschaltet haben. Diese genauso wie 'richtige' Server zu behandeln dürfte im Vergleich zu echten Servern mehr Fehlalarme auslösen. Zudem bestehen Privatsphäre-Bedenken (s. das Argument Online-Banking).
Völlig in Ordnung. Obwohl mancher direkte SSH Zugang sicher so nicht nötig wäre. Es gibt durchaus VPN.
Wie auch immer: eine Firewall ist ja per se eine einzige Ausnahmenliste, oder nicht. Schweizer Käse, sozusagen.
Gäbe es vielleicht eine Möglichkeit, die beiden Listen getrennt zu pflegen?
Och es geht so ziemlich alles. Deswegen will ich ja *vorher* wissen, wo der Schuh drücken könnte.
Wir sind da sehr flexibel mittlerweile.
Ich kann mir Deutschlandweite Ausnahmen, Ausnahmen für den DFN (Deutsches Forschungsnetz), IPv4/IPv6 Differenzierungen, Application spezifische Regeln, und auch Anbieterkategorien vorstellen (für letzteres müssten wir noch etas Geld nachwerfen ;-)
IIRC ist für IPv6 im RWTH-Netz sowieso gefordert, dass Server und Clients in verschiedene Netzblöcke gepackt werden sollen. Falls der Verwaltungsaufwand für das ITC zu hoch erscheint, einzelne Listen zu pflegen, wäre es vielleicht ein Kompromiss, etwas ähnliches auch für IPv4 vorzusehen?
Segmentierung betreiben wir in der Hochschule, seit ich Netzbetrieb gemacht habe und wir Anfang des vorigen Jahrzehnts das Internet 1.0 der RWTH anfingen umzubauen. Und einige Instute sind da schon sehr weit. Mit IPv6 haben wir natürlich noch ganz andere Möglichkeiten. Im NOC treiben wir zur Zeit voran, das Management der Netzwerkinfrastruktur (Switches, Accesspoints, ...) möglichst IPv6-only ohne Verbrauch im IPv4 Space umzustellen.
Aufgrund der Adressknappheit wahrscheinlich nicht als komplette Netze realisierbar, aber jedes Wohnheim sollte zumindest in der Lage sein, Ranges von IP-Adressen anzugeben, in denen sich Server befinden.
Bei uns ist *jede* Einrichtung im Prinzip ein Einzelfall. Damit kommen wir auf ein paar hundert davon.
Gruß, Jens Hektor