DynDNS aus Unternehmensnetzwerk zulassen?

Wenn es für den Betrieb nicht notwendig ist, sollte man es auch einfach sperren können. Alles was unnötig erlaubt wird, ist ein potentielles Einfallstor.



Als potentielles Problem, ohne Bauchgefühl . jeder Kommunikationskanal, der nicht notwendig ist, ist ein potentielles Risiko.

lks

Geht es darum DNS-Anfragen an dyndns-server zu blockieren oder dyn-dns-Einträge für Hochschul-IPs zu erlauben?

Das tust du ja per se dann auch wenn du einen kompromittierten Webserver ansprichst oder ein Trojaner einen DNS Request auf einen "Nach Hause telefonier" Host aufmacht.
Ein DNS Request an sich ist ja per se erstmal nichts Schlimmes und nur die Abfrage nach einer Ziel IP Adresse mit der allein in der Regel ja nichts Böses passieren kann. Erst was danach kommt ist dann wirklich relevant.
Wird auch sicher nicht einfach DynDNS DNS Requests zu filtern denn diese Provider nutzen in der Regel Balancer mit wechselnden IPs.
Wenn die Studis größere Datenmengen tauschen wollen stell ihnen eine Nextcloud in dein RZ. Kost nix und das Argument ist sofort vom Tisch !

Sofern nur dns-request an dyndns-Server gehen sollen, würde ich das zulassen, denn ansonsten müsste man DNS generell reglementieren.

Geht es darum, daß die Studenten per dyndns Ihre IP-Adress eintragen lassen, so würde ich das differenziert sehen.

Sofern das interne Netze von euch sind, die z.B. während Seminaren oder Vorlesungen genutzt werden, würde ich das sperren, weil es da nciht notwendig ist.

Wenn ihr aber Wohnheime o.ä. versorgt und quasi "allgemeiner ISP" für die Studenten seid, sollte man das zulassen.

lks

So wie Du es schilderst, schicken sie ja nur dns-requests. Von daher sehe ich kein erhöhtes Risiko gegenüber einer normalen DNS-Anfrage an andere Nameserver. Die frage ist nur noch: Dürfen die Studenten eigene Nameserver nutzen oder geht alles über die Instituts- oder Hochschuleigenen Nameserver. ich würde zumidenst DNS-Requests nur über die per DHCP verteolten Nameserver erlauben. Insbesodnere google, cloudflare oder quad9 für DNS-Anfragen aussperren.

lks

Moin,

wie willst du denn verhindern, dass die auf die Dienste hinter den DynDNS-Einteägen zugreifen?

Klar, die klassischen Domains wie NoIP oder DynDNS.org kann man per se blocken, aber wenn beispielsweise Microsoft selbst DynDNS für die (Sub)Domain flexible.Microsoft.com nutzen würde, weißt du ja gar nicht, ob die aufgelöste IP dynamisch ist oder nicht…

Genau das ist es ! Das hat dann aber (meist) nichts mehr mit DynDNS an sich zu tun wie Kollege @LKS ja schon sagt. Stattdessen könnte ein User ja auch die direkte Ziel IP eingeben was du ja auch nicht wirklich verhindern kannst.
Auch das wäre ja egal, denn der Uni DNS reicht ja dann auch DynDNS Requests weiter an seine Uplink DNS sofern dort kein DNS Filter ala PiHole oder AdGuard aktiv ist.

Dann gut's Nächtle ! 😴

Das verhindest du aber nicht, wenn du DynDNS-Dienste verbietest. Die finden andere Wege. Du kannst bestenfalls einschränken, aber wirklich verhindern wirst du da nichts. Von was reden wir hier eigentlich? Stellst du das Internet für deine Siedlung bereit oder geht es um den Zugang zum Internet eines Unternehmens? Dafür gibt es zur Unterstützung organisatorische Regelungen.

Schließe mich an. DynDNS nach draußen ist doch überhaupt kein Problem. Betreibt Ihr denn überhaupt eigene DNS-Server? Sonst könntest Du das gar nicht verhindern, die fragen ja nur eine Domain an. Zu schützen ist ohnehin nur das, was hinter dem konnektierten Netz liegt (das ja ohnehin bereits im Internet steht). Wenn den StudentInnen ihre Daten (Masterarbeiten) wichtig sind, machen sie das über VPN. Da sehe ich beim großen Durchschnitt aber eher schwarz. Aber deren Sache. Lernen sie auch was über Datensicherheit, wenn mal alles weg ist. Und DynDNS, WOL und einen entsprechend konfigurierten heimischen Rechner/NAS o.ä. brauchen sie auch. Scheint mir doch eher eine Randgruppenproblematik zu sein und als Uni sollte man vielleicht erwägen, dass Lösungen allen dienen sollen und nicht einigen wenigen technisch oder finanziell Privilegierten. Stichwort Teilhabe.

Die Lösung mit einer Uni-eigenen (Next-)Cloud (besser als die Synology wäre wahrscheinlich ein Linux-Rechner mit einer Nextcloud) ist dagegen für alle verwendbar und aus einem Guss (d.h. Ihr könnt das als Service anbieten und auch Tutorials machen - aber für Dich @Coreknabe natürlich Administrationsaufwand). Ihren Uni-Nextcloud-Account könnten Interessierte dann auch mit ihrem privaten verbinden, so dass sie auf die häuslichen Daten recht komfortabel zugreifen können. Die Nextcloud ist da super.

(PS: was gegen USB-Sticks spricht, verstehe ich auch nicht so recht. Wie groß sind die? Geht am Schlüsselanhänger. Und einfach zu verschlüsseln sind sie auch. Nur funken sie eben nicht nach hause...).

Lesen hilft hier ! Zitat des TO "... wir sind eine kleine Hochschule."

Hab´s beim querlesen überlesen.

Moin,

ich nehme mal einen anderen Ansatz - und zwar das du das eben nicht nur technisch entscheiden kannst. Klar - der "Datenaustausch" ist erstmal ein Argument der Studis das man einfach entkräften kann. ABER jetzt hängt es davon ab: Seid ihr z.B. mit einem Wohnheim verbunden oder nicht? Wenn ja bzw. Studis bekommen von der FH noch nen Internet-Anschluss (glaub ich nich das es das noch gibt, das sind eher die alten ISDN/Modem Zeiten) muss man halt überlegen das die ggf. eben auch im Ausland wohnen und darüber lokale TV-Sender gucken wollen. Wenn man als Admin nach 8h nach Hause geht wird halt gerne vergessen das die NUTZER ggf. 24h da leben und das was man selbst zuhause auch macht eben über die Leitung gehen sollte..

Der zweite Punkt ist das natürlich bei Studis nicht nur legale Daten getauscht werden - und die willst du ja sicher NICHT auf deinem Uni/Hochschul-NAS haben. Ob man das jetzt gut findet oder nicht - als Admin ist man ja nicht für die moralische Einstellung verantwortlich. Hier kann man sich halt überlegen das es so oder so getauscht wird - entweder eben per Festplatten/Sticks oder eben über die Netzwerk-Leitung (wer Spass dran hat mit dem geringen Upload... aber ok, Studis ticken da ggf. auch mal anders ;)).

Der dritte Punkt ist das es ja auch durchaus legitime Anforderungen für sowas geben kann. Wenn ich an mein Studium zurück denke - da wären z.B. beim Programmieren mögliche CVS/SVN/GIT-Server (ok, damals eher CVS/SVN) oder das z.B. eine Client-Server-Applikation irgendwo nen Server braucht der dann ggf eben auf irgendeinem Home-Rechner läuft. Oder eben irgendeine Datenbank-Anwendung bei dem der SQL-Server via Internet erreichbar sein soll (und bevor jetzt der grosse Aufschrei losgeht - ja, sollte man so nicht machen, aber im Studium is einiges mit "sollte" drin ;)). Da hilft dir dann ein NAS natürlich nicht viel weiter - und du willst ja vermutlich auch eher nicht irgendwelche Server im Uni/Hochschul-Netz haben die von aussen (wg. Hausaufgaben/Projektarbeiten) erreichbar ist... Da wuerde ich z.B. das Risiko immer gerne auf jeden Heim-Betrieb abschieben. Wenn da dann plötzlich noch irgendwelche Torrent (oder was auch immer aktuell genutzt wird) drauf laufen - nich mein Problem :D. Beim Uni/HS-Server müsstest du da ja schon ein wenig absichern um ggf. die freundlichen Briefe zu umgehen...

Von daher sehe ich es einfach: ENTWEDER du müsstest die private Nutzung komplett untersagen - was in nem Uni/Hochschul-Netzwerk eher nicht klappen wird. Oder du solltest auch DynDNS zulassen weil die Dienste an sich ja erst mal nicht illegal sind. Hier könnte man natürlich noch gucken ob man z.B. die Netze etwas trennt und ausm Labor / von Uni-Rechnern das nich gestattet während das aus dem Studi-Netzwerk halt geht. Es muss dir aber eben klar sein das man das dann mit nem einfachen "ping" umgehen kann.