Hallo und friedliche Weihnachten! Am Dienstag, 25. Dezember 2007 schrieb Steffen Dettmer:
* R. C. Graulich wrote on Mon, Dec 24, 2007 at 12:53 +0100:
Am Sonntag, 23. Dezember 2007 schrieb Steffen Dettmer:
* R. C. Graulich wrote on Sun, Dec 23, 2007 at 19:21 +0100:
Ich plane ein mittelgroßes Netz (50++ homogene Clients), derzeit allein mit w2k3-Server, um eine DMZ mit interner und externer Firewall zu erweitern.
wie dick ist der uplink?
Falsche Frage;-) es handelt sich um aDSL 6000. Mehr ist nicht drin.
6Mbit sind doch prima! Früher gabs mal Modems ^^
ja, ich bin früher auch morgens zum Bäcker *gelaufen*. ;-)
Ist mit "Firewall" hier lediglich ein Paketfilter gemeint? Wird Masquerading verwendet? Wenn ja, könnte der D-Link Router ja eventuell tatsächlich reichen; portforwarding ähnliche Sonderregeln, die man für die DMZ braucht, müsste er natürlich unterstützen. Wenn er reicht, würde ich ihn nehmen, weil einfacher.
Masquerading steht noch nicht genau fest. Hängt vom Proxy ab, und davon, ob auch "fremde" Benutzer mit ihren Notebooks ohne Domainen Account in das Internet dürfen.
Das verstehe ich (insbesondere in dem Zusammenhang) nicht. Wenn Du ein "normales" DSL hast, hast Du Masquerading. Das erschwert schonmal viele Angriffe, z.B. auf die internen Server, weil die erstmal überhaupt nicht von aussen erreichbar sind. Ich würde das auch unbedingt so lassen.
dacore! So auch meine bisherige Entscheidung. Doch: Von anderer Seite wurde mir Folgendes geschrieben und ich zitiere hier mal:
"Die (Anmerkung: p2p-netze) sollten hinter Arktur gar nicht laufen! Verbindungen ins Internet gehen nur über Squid. Wenn doch P2P läuft, dann hast für das ganze Netz Masquerading auf, das hast du dann aber ganz bewußt freigeschaltet. Oder deine Netzkonfiguration ist schlecht, so dass die Clients das I-Net ohne Arktur erreichen können." Bei dieser Antwort ging es um die Frage, wie man die p2p-Netze beschränken kann ("Arktur" ist der Name eines Linux-Servers des "Schulen-ans-Netz" Projektes).
Ich habe das Masquerading testweise mal abgeschaltet und dann kann tatsächlich keiner mehr am Proxy (squid) vorbei in das Internet (Proxy im Browser aus- oder eingetragen). Warum muss das gerade am Masquerading hängen? Eigentlich hat für mich das Masquerading Vorrang. Warum sollte ich LAN-interne Strukturen über den/die Proxy/InterneFirewall hinaus preisgeben?
Wenn es eine Homepage sein muss, dann irgendwo extern lagern. Es gibt auch Leute/Projekte, die Schulen dabei helfen.
Die HP der Schule liegt an anderer Stelle im i-Netz.
Dann könnte man auf die DMZ (mit von aussen erreichbaren Diensten wie Webserver oder so) verzichten. Wenn Du keine DMZ (mit von aussen...) brauchst, spart das im Zweifelsfall Arbeit und Ärger, glaube ich, also wenn man keine DMZ (mit ...) braucht, sollte man auch keine haben.
Doch für den Informatik-Unterricht mit Zugriff auf MySQL, Apache, Tomcat, Servlets, etc. macht es Sinn, den Schülern auch zu zeigen, wie es organisatorisch vernünftig umgesetzt werden kann.
Die Notebooks per default dürfen dann vielleicht nur HTTP, HTTPS und FTP und sonst nichts. Direktes Routing abschalten/filtern. Intern darf nur auf HTTP-Proxy (squid oder sowas).
Da vielleicht noch Anmeldung mit Datenschutzhinweis (also: man willigt ein, das alles und jedes geloggt und kontrolliert wird usw.
Dafür nutzen wir den w2k3-Server, der mit einer entsprechenden Lösung des Bundeslandes versehen ist. (Pädagogische Tools,...)
Jede URL wird in Relation zum Benutzeraccount gespeichert etc pp) und ggf. nur whitelist URLs erlauben.
Das wird vielerorts so gemacht, ja, so zu tun, als wäre das Netz sauber ... - Besser erscheint es mir, den relativ erwachsenen Schülern einen verantwortungsvollen selbstbestimmten Umgang mit diesem Medium zu vermitteln.
Kenn die Schulbestimmungen nicht. Ich wäre jedenfalls sehr vorsichtig wegen nicht jugendfreier Internetangebote etc. Proxy mit Statistik (und Datenschutzhinweis und was man da braucht, am besten unterschreiben lassen). Statistik ist wichtig, in den Top100 Traffics an Unis findet man jedenfalls vieles, was nicht jugendfrei ist (diese kleinen Filmchen erzeugen auch schnell viel Datenverkehr). Auch wichtig, falls von der IP aus was gemeines in Foren geschrieben wird oder so. Daher würde ich persönliche Proxy-Anmeldung verlangen.
Wie gesagt, das ist soweit alles vernüftig geregelt (Aufsicht, Datenschutzfreistellungen, Nutzungsbedingungen, etc...).
Diese Fragen sind vermutlich viel wichtiger als die genaue Konfiguration der Paketfilter. Ein Standard-Router mit Masquerading /und sonst nichts/ ist schon ein prima Schutz. Viren etc. müssen gesondert oder AUCH via Proxy kontrolliert werden etc, aber das ist ja sicherlich eh Standard.
Ja
VPN wird bestenfalls von mir zur gelegentlichen Fernwartung des W2k3 Servers genutzt. Der gewollte Zugriff von außen ist ansonsten eher die Ausnahme. Eigentlich wird nur die Fernwartung (vpn/ssh) benötigt.
Na ja, wenn Du ein bestimmtes VPN /brauchst/, bist Du bei embedded Routern eventuell eingeschränkt.
Das ist mir klar, danke nochmal für den Hinweis. Unser D-Linkrouter berherrscht VPN - jedenfalls konnte ich damit in der Vergangenheit den Win-Server ganz gut administrieren. Probleme gab es da, wenn dann clientseitig.
VPN ist natürlich ein weites Feld. *Daher* ziehe ich openSSH eigentlich vor.
Zur Performance würde ich bei 3DES (was ich vermutlich nehmen würde) gaaanz grob übern Daumen mit sagen wir 400 MHz pro MBit rechnen. Da man bei Fernwartung bestimmt mit weniger als ein MBit auskommt (das funktioniert ja sogar mit ISDN benutzbar), müsste der PC schon ganz schön alt sein, damit er nicht reicht. Wenn da ne 10.3 drauf läuft, schafft er das VPN bestimmt spielend (komisch ist's heute, was???).
Ja, das stimmt. Ich bin u.a. unter Compuserve mit 300bd Modem aufgewachsen ... Das hat auch Spass gemacht
Der Apache2 in der DMZ ist für eine noch zu schaffende Groupwarelösung angedacht und dient ansonsten kleinen Entwicklungsprojekten. Er könnte natürlich auch im LAN stehen, doch sollen hier die Schülern das Konzept einer DMZ kennenlernen.
Na ja, davon merkt man doch eh nichts, oder? Aber vielleicht kann ich mir den Lerneffekt auch nur nicht vorstellen. Sonst würde ich das jedenfalls unbedingt intern haben wollen. Groupware klingt nach wichtigen Daten und die sind die schützenswerten.
Ja, dennoch wird das genau so ein Thema werden. Also versuche ich es gleich konzeptionell so anzupacken, dass es dann relativ sicher laufen kann. Wie sonst sollte man bspw. der Forderung, zukünftig auf die Bibliotheks-DB von *überall* zugreifen zu können, gerecht werden? Das ist ein öffentlicher Dienst und gehört eigentlich in die DMZ. Die Groupware wird definitiv keine Verwaltungsdaten oder ähnliches bereitstellen und sich eher um Daten, wie Termine der Ferien, Feste, Vertretungsregelungen, usw., oder Reservierungen von Medien und Räumen kümmern müssen; quasi das schwarze Brett online. Das sind Daten, auf die im Angriffsfall verzichtet werden könnte, da sie lediglich der *unverbindlichen* Information dienen und verbindlich an anderer sicherer Stelle vorgehalten werden (Verwaltungsrechner, Schwarzes Brett, ...).
Eine Workstation mit `Daten im Netzlaufwerk' kann man fix neuinstallieren, wenn ein Virus drauf ist, aber einen gehackten Groupwareserver vielleicht nicht so einfach (weil man z.B. nicht weiss, welche Dokumente verändert wurden).
Ja. Ich hatte an anderer Stelle im Sommer das zweifelhafte Vergügen, einen Angriff auf einen Rootserver hinnehmen zu müssen.
Ach so, die Kiste muss selbst natürlich sicher sein, also sorgfältig machen, weil hier sicherlich extrem Angriffe von innen zu erwarten sind (die man vermutlich mit einem Paketfilter [Firewall] nur schwer unterdrückt bekommt, da HTTP ja dann eh erlaubt werden muss).
Kiste? In der DMZ würde ich nicht mehr zwischen drinnen und drausen unterscheiden wollen. *Alle* sind dann potentiell *böse* ;-)
Für DMZ vielleicht ein Satz von vmwares oder sowas? Könnte mir vorstellen, wenn man z.B. 5 virtuelle Maschinen hat, dass man sich da prima ein Internet simulieren kann (einfach mehrere IPs und paar dummy webseiten), dann eine dreiteilige Firewall (Paketfilter, Proxies, Paketfilter) und ein Angriffshost. Clients sind intern ja da. VMware Server kostet ja nichts mehr. Andere Produkte kenne/benutze ich nicht, es gibt aber natürlich auch andere.
Mir ist nicht klar, was genau du da meinst.
Wäre das eine Idee? Ist ja auch sehr flexibel. Ich glaube, der VMware Server kann auch problemlos mehrere VMs gleichzeitig laufen lassen. Ich nutze VMware workstation (kostet), die kann das jedenfalls und sogar ohne GUI (da bleibt dann performance übrig :)). Eine VM hat aber so vielleicht maximal 50% der Performance (die sich die VMs natürlich teilen). Reine CPU geht ganz gut, da kriegt man fast alles in der VM (es sei denn, man hat mehrere, dann hat man wohl mehr als 10% Overhead zusätzlich). Disk und anderes I/O ist dafür langsam (hab mal ein RAID getestet, da kamen in der VM nur ca 30% an). Aber für sowas reicht das ja mehr als aus.
dito, siehe letzter Abschnitt...
Je einfacher, desto besser die Chancen, dass etwas funktioniert. Keep it simple, stupid.
Ja, das sehe ich eigentlich auch so und wenn ich es auch nirgends so sehe ...
Ja, das ist eigentlich komisch, in der Tat. Aber MS hat die bunteren Prospekte (und da ist `unter der Haube' immer alles furchtbar kompliziert).
Ja, ich habe bspw. mal die MFC in der Tiefe kennen lernen *dürfen*, *schütteltsichgradalswärenlautermonsterimzimmer*. Immerhin, *duckundganzschnellwegrenn* ist manches in der probrietären Welt scheinbar besser geworden. Als ein Beispiel, auf das ich kaum noch verzichten möchte, sei auf die Softwareverteilung im AD verwiesen. Mehr würde mir jetzt aber auch nicht einfallen - Bitte: Friedliche Weihnachten! ;-)
Das gilt auch für die Konfiguration. Wenige Dienste, einfache Regeln usw. Wird ja schnell unübersichtlich. Manchmal werden Sachen einfach, wenn man statt 2 auch mal 3 oder 4 Netzwerkkarten einbaut (da kann man die Zugriffsbereiche segmentieren, ohne intelligenten Switches programmieren zu müssen etc).
Das währe machbar und doch nicht nötig. Könnte mal erforderlich sein, wenn wirklich alle Schüler mit ihren eigenen Notebooks über das Schulnetz in das Internet wollten.
Ja, gutes Beispiel, aber die Wifi-Karte ist ja eh ein extra interface. Oder man nimmt eine Bridge (und hängt die an eigene Netzwerkkarte / eigenes wifi bridging LAN). Ich würde z.B. eine Bridge nehmen, so'n Standard-Teil wie man zu Hause verwendet, weil man die problemlos wechseln kann, wenn kaputt (hatte ich alles schon).
In bestimmten Räumen sind an allen Schülertischen LAN-Steckdosen. Leider ist das nicht weiter segmentiert, so dass ich nur mittels DHCP regeln kann, wer wie verbunden wird. Da ich das sowohl unter w2k als auch oss machen konnte, läge mir viel daran, dem w2k3-Server die DHCP-Serverautorität auf Dauer zu rauben. WLan (=Wifi?) ist wenn, dann nur inerhalb der DMZ erlaubt. So die Idee - Ich lass mich da gern noch korrigieren, doch erscheint mir ein WLan konzeptionell zu unsicher. Apriori möchte ich den LAN-Teilnehmern da ein vergleichsweise höheres Vertrauen schenken.
Na ja, und wenn es mal einen Tag nicht geht, muss halt zu Hause gesaugt werden...
hehe ;-) Hier macht es auch Sinn, den Schülern klar zu machen, was sie sich im Zweifel aufgrund der potentiellen Strafbarkeit alles verbauen könnten. Da wissen die oft mehr als ich :-)
Servern gut. Wenn am Ende die Anwendung XYZ dann heute noch auf SuSE 8.2 laufen muss, störts ja kaum, wenn man der Firewall trauen kann, weil da alle patches (und möglichst wenig) drauf sind.
Das stimmt natürlich und wehe man übersieht dann den einen oder anderen Patch im alltäglichen Stress der Nichtigkeiten.
Ja, und Du brauchst eine Datenbank (welche Maschine hat welche Version / Software / Patchlevel). Was macht man, wenn es keine Patches mehr gibt und updaten aufwändig wird (wird es ja meistens) naja usw. Natürlich soll man immer alles patchen - aber sooo extrem gilt das für Workstations, nicht sooo sehr für in Stein gemeisselte Konfigurationen. (meine persönliche Meinung, zerreisst mich ruhig per PM :))
Wenn es um ein "normales Netz" geht, reicht das oft vermutlich schon. Für höheren Schutzbedarf muss man zusehen, dass keine Verbindung direkt nach aussen oder gar umgekehrt möglich ist. Ob die DMZ unter diese Regel fällt oder nicht und wie im Detail, muss man sehen. Intern müsste dann jedenfalls *alles* über einen entsprechenden Proxy.
Ein Proxy erscheint mir sehr wahrscheinlich. Derzeit teste ich gerade, ob der eine gewisse Performancesteigerung bringt. Ich erwarte das, weil die üblichste Nutzung so aussieht: 30 Clients starten dieselben Abfragen (Google, Wiki, etc.) nahezu gleichzeitig, weil alle Schüler in etwa die gleiche Aufgabe abarbeiten.
Ja, squid oder ähnliches hilft. Obwohl heute die ganze Werbebildchen per default erstmal wohl immer `uncachable' sind und jedes Mal neu geladen werden sollen (weger der Statistiken und Dynamik). Da kann man aber wohl gut was hinkonfigurieren, um das zu verbessern. Ich hab mal gehört, das Werbebanner einen nennenswerten Anteil am Traffic haben, habe aber keine Zahlen zur Hand. Muss man dann halt sehen. Für wikipedia.org ist ein cache bestimmt prima.
dacore - Das wird ein Kampf gegen Windmühlen bleiben...
Hier muss man natürlich im Prinzip zwischen `Proxy für Sicherheit' (Anmeldung, Filterung, Virenscan) und `Proxy für Performance und Kostenreduzierung' unterscheiden - auch wenn nachher beides mit einem squid auf der Firewallmaschine gelöst wird.
Squid soll zunächst die Performance verbessern.
Ob man da Virenscan mit einbaut oder nicht, muss man sehen (das ständige geupdate ist zumindestens theoretisch eine ziemliche Sicherheitsgefahr).
Virenscannern traue ich per se nicht. Die zerschossen mir regelmäßig wichtige Systemkomponenten (winlogon.exe, winvnc.exe, etc.) und jeder traut den Dingern mehr als dem eigenen Verstand ...
Wenn die unter Linux z.B. im squid oder Mails scannen, macht ein kaputtes winlogon.exe nichts, weil gar nicht da :)
Aber irgendwas macht man doch immer auf die Win-Workstations drauf, oder? Na ja, keine Ahnung. Ich würde jedenfalls was installieren und beten. Ja, auch mich nervt der Kram sehr (auch wenn ich andere Probleme damit hatte).
Ja, und ich möchte nicht wissen, wieviel Leistung wir alle dafür hergeben müssen. 30%? Wenn man das mal in Watt hochrechnen würde ... Immerhin sind die Schüler-PCs relativ gut geschützt, ein reboot und alles ist erst mal wieder im Lot. - so jedenfalls das tägliche *Credo*
Bei HTTP und Mail ist ein Proxy noch eher einfach (kommt natürlich sehr drauf an, wieviel funktionieren muss und was man verbieten möchte etc).
Da bin ich der Auffassung, dass Zensur nicht stattfinden sollte.
Jugendschutz ist keine Zensur. Überhaupt passt meiner Meinung nach Inhaltsauswahl ohne Wissens/Informationsbeschränkung im Rahmen einer Ausbildung/Erziehung überhaupt nicht zu "Zensur". [...]
Jugendschutz ist ja gesetzlich geregelt, hier geht es um junge Erwachsene.
Also per se ist alles erlaubt. Unsere Schüler sollen ja aufgeklärte Erwachsene werden und lernen, mit dem Internet sinnvoll umzugehen.
Meiner Meinung nach funktioniert das nicht. Meiner Meinung nach sieht man das gut am Fernsehen.
Das verstehe ich genau so und glaube auch, dass man *beides* *aktiv* begleiten muss.
Gerade kleine Kinder [...]
Großes Dacore! Ich halte persönlich auch überhaupt nichts davon, PCs als Spielzeug in das Kinderzimmer zu bringen. Autofahren darf man ja auch erst ab 16, doch ist mir die Realität in den Kinderzimmern durchaus bekannt.
Natürlich ist es kein Geheimnis, dass es sowas gibt, klar. [...]. Natürlich ist es im Einzelfall schwer, eine Grenze zu ziehen.
und es hängt sehr stark von der Altersstruktur der Schüler ab.
[...] Ich weiss nicht, ob der Aufwand tragbar ist, aber ich würde erwarten, dass das kaum jemand nutzt [...]
Ich konnte beobachten, dass Sperren nur als sportliche Herausforderungen angesehen und schneller umgangen werden, als man sich es vorstellen kann ...
Der Proxy macht nur als Cache Sinn, da die DSL-Leitung eher als dünn denn als dick zu bezeichnen ist.
ich find sie dick, für eine Schule; mein erstes Modem hatte 14kbit, die es nie erreichte ;) 6 MBit... Für alles ausser `multi-media' ist das hoffentlich mehr als ausreichend.
Leider ist es immer genau das, was Schüler sich so nebenbei gerne ansehen ...
Mail ist kein so dringlicher Service. Aus (fernmelde-)rechtlichen Gründen wird es in absehbarer Zeit erstmal keine eigenen Mail-Dienste im LAN geben.
das ist gut. Dann braucht man keinen POP/IMAP/SMTP Proxy, sondern blockt das einfach alles komplett. E-Mail geht dann ja immer noch über Webfrontends.
Genau
(die kurze Antwort ist also "hängt davon ab",
ja, die Antwort habe ich oft selbst parat. ;-) Dennoch ist so ein Brainstorming hilfreich, da man sich über seine eigenen Ziele mal selbst klarer werden kann. Wie gesagt, mit Kollegen kann ich Fragen zur IT-Struktur kaum erörtern.
Vielleicht gibt es fachspezifischere Informationen oder Hilfe bei entsprechenden Projekten (http://www.schulen-ans-netz.de/ oder bei den Pingos, falls es die noch gibt).
Ja, es gibt Sammlungen bei: http://www.linux-schulserver.de oder OSS spezifisch: http://de.opensuse.org/Bildungswesen - Doch ist ein heterogener Mix aus serverseitigem Windows und Linux dort eher selten vertreten. Jedenfalls wird da kaum eine DMZ eingerichtet ;-) -- Mit freundlichen Grüßen R. C. Graulich -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org