* R. C. Graulich wrote on Mon, Dec 24, 2007 at 12:53 +0100:
Am Sonntag, 23. Dezember 2007 schrieb Steffen Dettmer:
* R. C. Graulich wrote on Sun, Dec 23, 2007 at 19:21 +0100:
Ich plane ein mittelgroßes Netz (50++ homogene Clients), derzeit allein mit w2k3-Server, um eine DMZ mit interner und externer Firewall zu erweitern.
wie dick ist der uplink?
Falsche Frage;-) es handelt sich um aDSL 6000. Mehr ist nicht drin.
6Mbit sind doch prima! Früher gabs mal Modems ^^
Ist mit "Firewall" hier lediglich ein Paketfilter gemeint? Wird Masquerading verwendet? Wenn ja, könnte der D-Link Router ja eventuell tatsächlich reichen; portforwarding ähnliche Sonderregeln, die man für die DMZ braucht, müsste er natürlich unterstützen. Wenn er reicht, würde ich ihn nehmen, weil einfacher.
Masquerading steht noch nicht genau fest. Hängt vom Proxy ab, und davon, ob auch "fremde" Benutzer mit ihren Notebooks ohne Domainen Account in das Internet dürfen.
Das verstehe ich (insbesondere in dem Zusammenhang) nicht. Wenn Du ein "normales" DSL hast, hast Du Masquerading. Das erschwert schonmal viele Angriffe, z.B. auf die internen Server, weil die erstmal überhaupt nicht von aussen erreichbar sind. Ich würde das auch unbedingt so lassen. Wenn es eine Homepage sein muss, dann irgendwo extern lagern. Es gibt auch Leute/Projekte, die Schulen dabei helfen. Dann könnte man auf die DMZ (mit von aussen erreichbaren Diensten wie Webserver oder so) verzichten. Wenn Du keine DMZ (mit von aussen...) brauchst, spart das im Zweifelsfall Arbeit und Ärger, glaube ich, also wenn man keine DMZ (mit ...) braucht, sollte man auch keine haben. Die Notebooks per default dürfen dann vielleicht nur HTTP, HTTPS und FTP und sonst nichts. Direktes Routing abschalten/filtern. Intern darf nur auf HTTP-Proxy (squid oder sowas). Da vielleicht noch Anmeldung mit Datenschutzhinweis (also: man willigt ein, das alles und jedes geloggt und kontrolliert wird usw. Jede URL wird in Relation zum Benutzeraccount gespeichert etc pp) und ggf. nur whitelist URLs erlauben. Kenn die Schulbestimmungen nicht. Ich wäre jedenfalls sehr vorsichtig wegen nicht jugendfreier Internetangebote etc. Proxy mit Statistik (und Datenschutzhinweis und was man da braucht, am besten unterschreiben lassen). Statistik ist wichtig, in den Top100 Traffics an Unis findet man jedenfalls vieles, was nicht jugendfrei ist (diese kleinen Filmchen erzeugen auch schnell viel Datenverkehr). Auch wichtig, falls von der IP aus was gemeines in Foren geschrieben wird oder so. Daher würde ich persönliche Proxy-Anmeldung verlangen. Diese Fragen sind vermutlich viel wichtiger als die genaue Konfiguration der Paketfilter. Ein Standard-Router mit Masquerading /und sonst nichts/ ist schon ein prima Schutz. Viren etc. müssen gesondert oder AUCH via Proxy kontrolliert werden etc, aber das ist ja sicherlich eh Standard.
VPN wird bestenfalls von mir zur gelegentlichen Fernwartung des W2k3 Servers genutzt. Der gewollte Zugriff von außen ist ansonsten eher die Ausnahme. Eigentlich wird nur die Fernwartung (vpn/ssh) benötigt.
Na ja, wenn Du ein bestimmtes VPN /brauchst/, bist Du bei embedded Routern eventuell eingeschränkt. VPN ist natürlich ein weites Feld. Zur Performance würde ich bei 3DES (was ich vermutlich nehmen würde) gaaanz grob übern Daumen mit sagen wir 400 MHz pro MBit rechnen. Da man bei Fernwartung bestimmt mit weniger als ein MBit auskommt (das funktioniert ja sogar mit ISDN benutzbar), müsste der PC schon ganz schön alt sein, damit er nicht reicht. Wenn da ne 10.3 drauf läuft, schafft er das VPN bestimmt spielend (komisch ist's heute, was???).
Der Apache2 in der DMZ ist für eine noch zu schaffende Groupwarelösung angedacht und dient ansonsten kleinen Entwicklungsprojekten. Er könnte natürlich auch im LAN stehen, doch sollen hier die Schülern das Konzept einer DMZ kennenlernen.
Na ja, davon merkt man doch eh nichts, oder? Aber vielleicht kann ich mir den Lerneffekt auch nur nicht vorstellen. Sonst würde ich das jedenfalls unbedingt intern haben wollen. Groupware klingt nach wichtigen Daten und die sind die schützenswerten. Eine Workstation mit `Daten im Netzlaufwerk' kann man fix neuinstallieren, wenn ein Virus drauf ist, aber einen gehackten Groupwareserver vielleicht nicht so einfach (weil man z.B. nicht weiss, welche Dokumente verändert wurden). Ach so, die Kiste muss selbst natürlich sicher sein, also sorgfältig machen, weil hier sicherlich extrem Angriffe von innen zu erwarten sind (die man vermutlich mit einem Paketfilter [Firewall] nur schwer unterdrückt bekommt, da HTTP ja dann eh erlaubt werden muss). Für DMZ vielleicht ein Satz von vmwares oder sowas? Könnte mir vorstellen, wenn man z.B. 5 virtuelle Maschinen hat, dass man sich da prima ein Internet simulieren kann (einfach mehrere IPs und paar dummy webseiten), dann eine dreiteilige Firewall (Paketfilter, Proxies, Paketfilter) und ein Angriffshost. Clients sind intern ja da. VMware Server kostet ja nichts mehr. Andere Produkte kenne/benutze ich nicht, es gibt aber natürlich auch andere. Wäre das eine Idee? Ist ja auch sehr flexibel. Ich glaube, der VMware Server kann auch problemlos mehrere VMs gleichzeitig laufen lassen. Ich nutze VMware workstation (kostet), die kann das jedenfalls und sogar ohne GUI (da bleibt dann performance übrig :)). Eine VM hat aber so vielleicht maximal 50% der Performance (die sich die VMs natürlich teilen). Reine CPU geht ganz gut, da kriegt man fast alles in der VM (es sei denn, man hat mehrere, dann hat man wohl mehr als 10% Overhead zusätzlich). Disk und anderes I/O ist dafür langsam (hab mal ein RAID getestet, da kamen in der VM nur ca 30% an). Aber für sowas reicht das ja mehr als aus.
Je einfacher, desto besser die Chancen, dass etwas funktioniert. Keep it simple, stupid.
Ja, das sehe ich eigentlich auch so und wenn ich es auch nirgends so sehe ...
Ja, das ist eigentlich komisch, in der Tat. Aber MS hat die bunteren Prospekte (und da ist `unter der Haube' immer alles furchtbar kompliziert).
Das gilt auch für die Konfiguration. Wenige Dienste, einfache Regeln usw. Wird ja schnell unübersichtlich. Manchmal werden Sachen einfach, wenn man statt 2 auch mal 3 oder 4 Netzwerkkarten einbaut (da kann man die Zugriffsbereiche segmentieren, ohne intelligenten Switches programmieren zu müssen etc).
Das währe machbar und doch nicht nötig. Könnte mal erforderlich sein, wenn wirklich alle Schüler mit ihren eigenen Notebooks über das Schulnetz in das Internet wollten.
Ja, gutes Beispiel, aber die Wifi-Karte ist ja eh ein extra interface. Oder man nimmt eine Bridge (und hängt die an eigene Netzwerkkarte / eigenes wifi bridging LAN). Ich würde z.B. eine Bridge nehmen, so'n Standard-Teil wie man zu Hause verwendet, weil man die problemlos wechseln kann, wenn kaputt (hatte ich alles schon). Na ja, und wenn es mal einen Tag nicht geht, muss halt zu Hause gesaugt werden...
Servern gut. Wenn am Ende die Anwendung XYZ dann heute noch auf SuSE 8.2 laufen muss, störts ja kaum, wenn man der Firewall trauen kann, weil da alle patches (und möglichst wenig) drauf sind.
Das stimmt natürlich und wehe man übersieht dann den einen oder anderen Patch im alltäglichen Stress der Nichtigkeiten.
Ja, und Du brauchst eine Datenbank (welche Maschine hat welche Version / Software / Patchlevel). Was macht man, wenn es keine Patches mehr gibt und updaten aufwändig wird (wird es ja meistens) naja usw. Natürlich soll man immer alles patchen - aber sooo extrem gilt das für Workstations, nicht sooo sehr für in Stein gemeisselte Konfigurationen. (meine persönliche Meinung, zerreisst mich ruhig per PM :))
Wenn es um ein "normales Netz" geht, reicht das oft vermutlich schon. Für höheren Schutzbedarf muss man zusehen, dass keine Verbindung direkt nach aussen oder gar umgekehrt möglich ist. Ob die DMZ unter diese Regel fällt oder nicht und wie im Detail, muss man sehen. Intern müsste dann jedenfalls *alles* über einen entsprechenden Proxy.
Ein Proxy erscheint mir sehr wahrscheinlich. Derzeit teste ich gerade, ob der eine gewisse Performancesteigerung bringt. Ich erwarte das, weil die üblichste Nutzung so aussieht: 30 Clients starten dieselben Abfragen (Google, Wiki, etc.) nahezu gleichzeitig, weil alle Schüler in etwa die gleiche Aufgabe abarbeiten.
Ja, squid oder ähnliches hilft. Obwohl heute die ganze Werbebildchen per default erstmal wohl immer `uncachable' sind und jedes Mal neu geladen werden sollen (weger der Statistiken und Dynamik). Da kann man aber wohl gut was hinkonfigurieren, um das zu verbessern. Ich hab mal gehört, das Werbebanner einen nennenswerten Anteil am Traffic haben, habe aber keine Zahlen zur Hand. Muss man dann halt sehen. Für wikipedia.org ist ein cache bestimmt prima. Hier muss man natürlich im Prinzip zwischen `Proxy für Sicherheit' (Anmeldung, Filterung, Virenscan) und `Proxy für Performance und Kostenreduzierung' unterscheiden - auch wenn nachher beides mit einem squid auf der Firewallmaschine gelöst wird.
Ob man da Virenscan mit einbaut oder nicht, muss man sehen (das ständige geupdate ist zumindestens theoretisch eine ziemliche Sicherheitsgefahr).
Virenscannern traue ich per se nicht. Die zerschossen mir regelmäßig wichtige Systemkomponenten (winlogon.exe, winvnc.exe, etc.) und jeder traut den Dingern mehr als dem eigenen Verstand ...
Wenn die unter Linux z.B. im squid oder Mails scannen, macht ein kaputtes winlogon.exe nichts, weil gar nicht da :) Aber irgendwas macht man doch immer auf die Win-Workstations drauf, oder? Na ja, keine Ahnung. Ich würde jedenfalls was installieren und beten. Ja, auch mich nervt der Kram sehr (auch wenn ich andere Probleme damit hatte).
Bei HTTP und Mail ist ein Proxy noch eher einfach (kommt natürlich sehr drauf an, wieviel funktionieren muss und was man verbieten möchte etc).
Da bin ich der Auffassung, dass Zensur nicht stattfinden sollte.
Jugendschutz ist keine Zensur. Überhaupt passt meiner Meinung nach Inhaltsauswahl ohne Wissens/Informationsbeschränkung im Rahmen einer Ausbildung/Erziehung überhaupt nicht zu "Zensur". Die Schüler können ja jede legale Information bekommen, beispielsweise, in dem sie einen Lehrer fragen. Notfalls muss dieser entscheiden, ob zum Beispiel die Bilder, die eine Kampagne gegen Frauenverstümmelung gemacht hat, um Europäern die fast unglaubliche Grausamkeit in Form von blutigen Bildern anschaulich zu machen, für die fragenden Schüler akzeptabel sind. Dabei kann er die /Information/ ja geben (beispielsweise das Bild verbal beschreiben). Die Information wird damit also nicht zensiert, finde ich (bin ja aber totale Laie).
Also per se ist alles erlaubt. Unsere Schüler sollen ja aufgeklärte Erwachsene werden und lernen, mit dem Internet sinnvoll umzugehen.
Meiner Meinung nach funktioniert das nicht. Meiner Meinung nach sieht man das gut am Fernsehen. Gerade kleine Kinder werden von der Werbung beeinflusst (man muss sich mal mit Spielzeug-Verkäuferinnen unterhalten). Meines Verständnisses nach ist `Schülern ist alles erlaubt' vermutlich rechtswidrig, da es im Internet definitiv nicht jugendfreie, jugendgefährdende und sogar verfassungswidrige Inhalte gibt. Natürlich ist es kein Geheimnis, dass es sowas gibt, klar. Auch die Aussagen an sich wohl kaum. Dennoch sollte eine Schule nicht ermöglichen, in verfassungsfeindlichen Foren Parolen auszutauschen oder überhaupt Kontakte zu knüpfen, finde ich. Natürlich ist es im Einzelfall schwer, eine Grenze zu ziehen. Daher vielleicht eine whitelist. Schüler dürfen ihren Lehrer nach allem fragen etc, er (mit seinem Proxylogin) darf alles laden. Dann surft man `zusammen'. Ich weiss nicht, ob der Aufwand tragbar ist, aber ich würde erwarten, dass das kaum jemand nutzt (weil ja zu Hause vermutlich viele Internet haben). Jedenfalls ist alles legale damit zugänglich, aber natürlich zweckgebunden für die Ausbildung. Das sollte auch schonmal die sinnlosen Massendownloads von Anatomie-Bildsammlungen einschränken... Vermutlich hilft schon, wenn man die Leute ein, zweimal darauf anspricht (sie wissen bestimmt, dass sie es nicht sollen, und wenn sie `erwischt' werden, lassen sie es vielleicht). Aber ich steh hier auf dünnem Eis, weil ich von alldem (Recht aber auch Lehre) gar keine Ahnung hab (aber erstmal mitreden, jaja, ich weiss ;)).
Der Proxy macht nur als Cache Sinn, da die DSL-Leitung eher als dünn denn als dick zu bezeichnen ist.
ich find sie dick, für eine Schule; mein erstes Modem hatte 14kbit, die es nie erreichte ;) 6 MBit... Für alles ausser `multi-media' ist das hoffentlich mehr als ausreichend.
Mail ist kein so dringlicher Service. Aus (fernmelde-)rechtlichen Gründen wird es in absehbarer Zeit erstmal keine eigenen Mail-Dienste im LAN geben.
das ist gut. Dann braucht man keinen POP/IMAP/SMTP Proxy, sondern blockt das einfach alles komplett. E-Mail geht dann ja immer noch über Webfrontends.
(die kurze Antwort ist also "hängt davon ab",
ja, die Antwort habe ich oft selbst parat. ;-) Dennoch ist so ein Brainstorming hilfreich, da man sich über seine eigenen Ziele mal selbst klarer werden kann. Wie gesagt, mit Kollegen kann ich Fragen zur IT-Struktur kaum erörtern.
Vielleicht gibt es fachspezifischere Informationen oder Hilfe bei entsprechenden Projekten (http://www.schulen-ans-netz.de/ oder bei den Pingos, falls es die noch gibt). ach mistmist Zeit verpasst muss jetzt aber los. Frohe Weihnachten. oki, Steffen -- Dieses Schreiben wurde maschinell erstellt, es trägt daher weder Unterschrift noch Siegel. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org