90 lines
2.4 KiB
Markdown
90 lines
2.4 KiB
Markdown
# NREN / ASN Detection Service
|
|
|
|
Dieses Projekt stellt einen **minimalen Microservice** bereit, um **Hochschul- und Forschungsnetzwerke (NRENs)** anhand der **Autonomous System Number (ASN)** zu erkennen.
|
|
|
|
Der Zweck ist es, **Anfragen aus Hochschulnetzen (z. B. eduroam)** zu identifizieren, um **Research-bezogene Services kostenlos oder bevorzugt bereitzustellen**.
|
|
|
|
Das System dient ausschließlich der **Netzwerk-Klassifikation** und **ersetzt keine Authentifizierung**.
|
|
|
|
---
|
|
|
|
## Ziel
|
|
|
|
- Erkennen, ob eine Anfrage aus einem **Hochschul- oder Forschungsnetz** stammt
|
|
- Bereitstellung eines **Header-Hinweises** für nachgelagerte Services
|
|
- Grundlage für Entscheidungen wie:
|
|
- kostenfreie Research-Features
|
|
- angepasste UI-Hinweise
|
|
- alternative Rate-Limits
|
|
|
|
---
|
|
|
|
## Funktionsweise (Kurzfassung)
|
|
|
|
```
|
|
Client
|
|
→ Traefik
|
|
→ ForwardAuth
|
|
→ ASN Detection Service
|
|
→ Header wird ergänzt
|
|
```
|
|
|
|
1. Die Client-IP wird ermittelt
|
|
2. Die zugehörige ASN wird lokal nachgeschlagen
|
|
3. Die ASN wird mit einer NREN-ASN-Liste verglichen
|
|
4. Das Ergebnis wird als HTTP-Header zurückgegeben
|
|
|
|
---
|
|
|
|
## Datenquellen
|
|
|
|
- **GeoLite2 ASN (MaxMind)**
|
|
- kostenlos
|
|
- lokal
|
|
- monatliche Aktualisierung
|
|
|
|
- **NREN-ASN-Liste**
|
|
- abgeleitet aus PeeringDB
|
|
- Kategorie: `Research and Education`
|
|
- monatliche Aktualisierung
|
|
|
|
---
|
|
|
|
## Bereitgestellte Header
|
|
|
|
| Header | Beschreibung |
|
|
|------|-------------|
|
|
| `X-ASN` | ASN der Client-IP |
|
|
| `X-ASN-ORG` | Organisation (optional) |
|
|
| `X-NREN` | `1` wenn ASN zu einem Hochschul-/Forschungsnetz gehört, sonst `0` |
|
|
|
|
---
|
|
|
|
## Integration
|
|
|
|
Der Service wird als **Traefik ForwardAuth Middleware** eingebunden.
|
|
Die Header werden über `authResponseHeaders` an die eigentliche Anwendung weitergereicht.
|
|
|
|
Der Service ist **nicht öffentlich exponiert** und kommuniziert ausschließlich über das interne Docker-Netzwerk.
|
|
|
|
---
|
|
|
|
## Update-Strategie
|
|
|
|
- monatliche Aktualisierung der ASN-Daten
|
|
- keine externen Requests während der Anfrageverarbeitung
|
|
|
|
---
|
|
|
|
## Einschränkungen
|
|
|
|
- Die Erkennung ist **heuristisch**
|
|
- Es gibt **keine Garantie**, dass jede Anfrage aus einem Hochschulnetz erkannt wird
|
|
- Die Information darf **nicht als Authentifizierungsmerkmal** verwendet werden
|
|
|
|
---
|
|
|
|
## Zusammenfassung
|
|
|
|
Dieses Projekt ermöglicht eine **performante, datenschutzfreundliche Erkennung von Hochschulnetzen**, um **Research-Angebote kontextabhängig bereitzustellen**, ohne Nutzer zu identifizieren oder externe Dienste zur Laufzeit zu kontaktieren.
|