mindboost/mindboost-infrastructure
7
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity
Files
9650bd8b3c4c5750b883426bb9367656ca1c1525
mindboost-infrastructure/apps/security/Eduroam Analyzer/README_technical.md

2.4 KiB
Raw Blame History

NREN / ASN Detection Service

Dieses Projekt stellt einen minimalen Microservice bereit, um Hochschul- und Forschungsnetzwerke (NRENs) anhand der Autonomous System Number (ASN) zu erkennen.

Der Zweck ist es, Anfragen aus Hochschulnetzen (z. B. eduroam) zu identifizieren, um Research-bezogene Services kostenlos oder bevorzugt bereitzustellen.

Das System dient ausschließlich der Netzwerk-Klassifikation und ersetzt keine Authentifizierung.

Ziel

  • Erkennen, ob eine Anfrage aus einem Hochschul- oder Forschungsnetz stammt
  • Bereitstellung eines Header-Hinweises für nachgelagerte Services
  • Grundlage für Entscheidungen wie:
    • kostenfreie Research-Features
    • angepasste UI-Hinweise
    • alternative Rate-Limits

Funktionsweise (Kurzfassung)

Client
  → Traefik
    → ForwardAuth
      → ASN Detection Service
        → Header wird ergänzt
  1. Die Client-IP wird ermittelt
  2. Die zugehörige ASN wird lokal nachgeschlagen
  3. Die ASN wird mit einer NREN-ASN-Liste verglichen
  4. Das Ergebnis wird als HTTP-Header zurückgegeben

Datenquellen

  • GeoLite2 ASN (MaxMind)

    • kostenlos
    • lokal
    • monatliche Aktualisierung

  • NREN-ASN-Liste

    • abgeleitet aus PeeringDB
    • Kategorie: Research and Education
    • monatliche Aktualisierung

Bereitgestellte Header

Header Beschreibung
X-ASN ASN der Client-IP
X-ASN-ORG Organisation (optional)
X-NREN 1 wenn ASN zu einem Hochschul-/Forschungsnetz gehört, sonst 0

Integration

Der Service wird als Traefik ForwardAuth Middleware eingebunden.
Die Header werden über authResponseHeaders an die eigentliche Anwendung weitergereicht.

Der Service ist nicht öffentlich exponiert und kommuniziert ausschließlich über das interne Docker-Netzwerk.

Update-Strategie

  • monatliche Aktualisierung der ASN-Daten
  • keine externen Requests während der Anfrageverarbeitung

Einschränkungen

  • Die Erkennung ist heuristisch
  • Es gibt keine Garantie, dass jede Anfrage aus einem Hochschulnetz erkannt wird
  • Die Information darf nicht als Authentifizierungsmerkmal verwendet werden

Zusammenfassung

Dieses Projekt ermöglicht eine performante, datenschutzfreundliche Erkennung von Hochschulnetzen, um Research-Angebote kontextabhängig bereitzustellen, ohne Nutzer zu identifizieren oder externe Dienste zur Laufzeit zu kontaktieren.