* R. C. Graulich wrote on Tue, Dec 25, 2007 at 14:14 +0100:
Am Dienstag, 25. Dezember 2007 schrieb Steffen Dettmer:
6Mbit sind doch prima! Früher gabs mal Modems ^^
ja, ich bin früher auch morgens zum Bäcker *gelaufen*. ;-)
und die Brötchen waren trozdem nicht schlechter, oder? ;)
dacore! So auch meine bisherige Entscheidung. Doch: Von anderer Seite wurde mir Folgendes geschrieben und ich zitiere hier mal:
"Die (Anmerkung: p2p-netze) sollten hinter Arktur gar nicht laufen! Verbindungen ins Internet gehen nur über Squid. Wenn doch P2P läuft, dann hast für das ganze Netz Masquerading auf, das hast du dann aber ganz bewußt freigeschaltet. Oder deine Netzkonfiguration ist schlecht, so dass die Clients das I-Net ohne Arktur erreichen können."
Bei dieser Antwort ging es um die Frage, wie man die p2p-Netze beschränken kann ("Arktur" ist der Name eines Linux-Servers des "Schulen-ans-Netz" Projektes).
Ich habe das Masquerading testweise mal abgeschaltet und dann kann tatsächlich keiner mehr am Proxy (squid) vorbei in das Internet (Proxy im Browser aus- oder eingetragen).
Wenn man Masquerading technisch `brauchen würde', aber nicht aktiviert, ist das sozusagen `impliziet geblockt'.
Warum muss das gerade am Masquerading hängen? Eigentlich hat für mich das Masquerading Vorrang. Warum sollte ich LAN-interne Strukturen über den/die Proxy/InterneFirewall hinaus preisgeben?
Masquerading bräuchtest Du technisch, weil Du im LAN keine registrierten IPs verwenden kannst (weil Du keine hast), sondern was privates / unroutbares (192.168/16 oder sowas) verwenden musst. Diese Addressen sind vom Internet herraus natürlich nicht erreichbar (wie auch, ich hab ja die gleichen), also werden sie umgesetzt (maskiert), dann geht es doch (wenn auch mit Einschränkungen). (es folgt meine Meinung:) Das Verstecken der LAN-Strukturen via NAT (wie z.B. Masquerading) hat man früher als Sicherheitsfunktion gesehen, heute steht aber meist im Mittelpunkt, dass man über Zugänge mit einer dynamischen IP ins Internet kommt. Die Sicherheitsfunktion fällt dabei natürlich trozdem mit ab, so dass man dadurch schon sinnvolle Sicherheit `automatisch' bekommt. Der darüber hinausgehende Kram für Netzwerke wäre kompliziert, merkt man hinter Masquerading aber nicht weiter, daher kann man sich da was konfigurieren oder auch gar nichts: es wird eh nichts geroutet (geht ja technisch nicht), dem letzten Provider oder Carrierrouter vertraut man (i.d.R) und daher sind zusätzliche Blockregeln im Prinzip mehr oder weniger egal. Das bezieht sich alles nur auf Paketfilter, eine kleine spezielle Teilfunktion von Firewalls. Dazu gibts sicherlich viele Infos im Internet. Wenn man nur noch über einen HTTP Proxy rauskommt, gehen Dienste, die nicht über HTTP laufen können, nicht mehr. P2P geht vermutlich nicht mehr. Allerdings kann man technisch natürlich doch wieder alles über HTTP tunneln. Sowas zu blocken ist schwieriger. Hierzu dient ja eine Firewall. Sie soll z.B. p2p blocken, selbst wenn man es über HTTP fährt. Das ist im Einzelfall schwierig und geht nur unter mehr oder weniger starken Einschränkungen der Funktionalität. Na ja, komplexes Thema. Gegen Schüler, die richtig was drauf haben, kommt sowas vermutlich eh nicht gegen an, wenn diese eigene Geräte verwenden dürfen (eigene Laptops). Notfalls wird der traffic halt in PING payloads, anderen ICMPs oder eben HTTP, falls das erlaubt ist, oder sonstwas getunnelt. Irgendwas lässt die Firewall bestimmt durch, man muss nur lange genug suchen :)
Wenn es eine Homepage sein muss, dann irgendwo extern lagern. Es gibt auch Leute/Projekte, die Schulen dabei helfen.
Die HP der Schule liegt an anderer Stelle im i-Netz.
Dann könnte man auf die DMZ (mit von aussen erreichbaren Diensten wie Webserver oder so) verzichten. Wenn Du keine DMZ (mit von aussen...) brauchst, spart das im Zweifelsfall Arbeit und Ärger, glaube ich, also wenn man keine DMZ (mit ...) braucht, sollte man auch keine haben.
Doch für den Informatik-Unterricht mit Zugriff auf MySQL, Apache, Tomcat, Servlets, etc. macht es Sinn, den Schülern auch zu zeigen, wie es organisatorisch vernünftig umgesetzt werden kann.
Ja, aber doch nur intern, oder? Sicherheit ist `langweilig', man verbietet halt erstmal alles, was nicht unbedingt erlaubt ist. Lehrsysteme, wie PostgreSQL, Apache, Perl CGI Scripts (mySQL ist wohl nicht so gut für die Lehre?) oder so sind bestimmt immer unsicher, weil der Lernende ja kein erfahrener Sicherheitsentwickler ist, und selbst die machen genug Fehler. Auf die Aufgaben und ersten Gehversuche von Schülern sollte man meiner Meinung nach keinen aus dem Internet drauflassen.
Die Notebooks per default dürfen dann vielleicht nur HTTP, HTTPS und FTP und sonst nichts. Direktes Routing abschalten/filtern. Intern darf nur auf HTTP-Proxy (squid oder sowas).
Da vielleicht noch Anmeldung mit Datenschutzhinweis (also: man willigt ein, das alles und jedes geloggt und kontrolliert wird usw.
Dafür nutzen wir den w2k3-Server, der mit einer entsprechenden Lösung des Bundeslandes versehen ist. (Pädagogische Tools,...)
Ein Notebook kann das ja ignorieren und einfach Seiten aus dem Internet laden, ohne der w2k3-Server (was auch immer das ist) überhaupt zu nutzen - oder? Wenn der w2k3-Server als Proxy genutzt werden muss, dann muss die Firewall natürlich /jeden anderen/ HTTP Verkehr zum/vom Internet blockieren und darf nur diese eine Maschine erlauben (das geht vermutlich recht einfach mit einem Paketfilter, wenn das reicht).
Jede URL wird in Relation zum Benutzeraccount gespeichert etc pp) und ggf. nur whitelist URLs erlauben.
Das wird vielerorts so gemacht, ja, so zu tun, als wäre das Netz sauber ... - Besser erscheint es mir, den relativ erwachsenen Schülern einen verantwortungsvollen selbstbestimmten Umgang mit diesem Medium zu vermitteln.
Es geht nicht darum, ob das Netz sauber ist (ist es nicht, es verletzt an einigen Stellen sicherlich jegliche Moral und Ethik, weil es im Prinzip `alles' gibt) sondern darum, ob man es gestattet, solche Inhalte zu nutzen (von Steuergeldern bezahlte downloads von rechtswidrigen Inhalten) oder ob man die zur Lehre /notwendigen/ Informationen und Techniken verfügbar macht. Dazu braucht man kein Internet, man könnte es simulieren, aber das ist aufwändig. Es geht ja gar nicht darum, den Schülern beizubringen, wo man verfassungsfeindliche Symbole downloaden kann. Das sollen die mal schön zu Hause machen. (In Deutschland haben wir Vorratsdatenspeicherung, in Internetcaffes muss man sich mit Personalausweis melden usw., freifunk hat es juristisch auch mindestens nicht leicht. Das find ich alles nicht so gut, aber das ist halt leider geltendes Recht. Wir waren vielleicht schon mal weiter, aber das ist kein Thema für Techniker sondern für Politiker. Na ja, wie auch immer. Wenn man dagegen ist, sollte man vielleicht lieber auf eine Demo gehen oder so. Aber wenn der Staatsanwalt zur Schule kommt, weil jemand ein verfassungsfeindliches Symbol geladen hat, muss ich ihm ja auch nichts erklären und das Steuergeld ist eh weg, also ist es mir auch wieder ziemlich egal :))
IP aus was gemeines in Foren geschrieben wird oder so. Daher würde ich persönliche Proxy-Anmeldung verlangen.
Wie gesagt, das ist soweit alles vernüftig geregelt (Aufsicht, Datenschutzfreistellungen, Nutzungsbedingungen, etc...).
Na ja, optionale, freiwillig Nutzungsbedingungen und Aufsicht (die man umgeht, wenn man einfach nur einen Laptop hat) klingt für mich nicht so nach vernüftiger Regelung, aber der Eindruck kann natürlich total täuschen, ist auch alles OT hier :)
VPN ist natürlich ein weites Feld. *Daher* ziehe ich openSSH eigentlich vor.
Damit kann man auch wieder VPNs bauen, auch ein weites Feld :-)
Ja, dennoch wird das genau so ein Thema werden. Also versuche ich es gleich konzeptionell so anzupacken, dass es dann relativ sicher laufen kann. Wie sonst sollte man bspw. der Forderung, zukünftig auf die Bibliotheks-DB von *überall* zugreifen zu können, gerecht werden? Das ist ein öffentlicher Dienst und gehört eigentlich in die DMZ. [+ schwarze Brett]
Dazu würde ich ein Gateway schaffen, dass genau das und nichts anderes tut und es auf der Firewall laufen lassen. Klassische Firewallanwendung. Wenn man dazu aber Zugriff auf einen Apache mit PostgreSQL Datenbank gestattet, wo auch Lernende selbstprogrammiertes ablegen, macht man meiner Meinung nach was falsch. Obwohl in einer Schule ist das alles ja auch nicht sooo wichtig. Datenschutz relevante Datein darf man in so einem Netz natürlich nicht haben (Sekretariatscomputer?), dann hat man nichts geheimes und wenn das System eine ganze Woche ausfällt, macht es auch nichts. Obwohl ich mich frage, ob man den üblichen DMZ-Workaround dem Lernenden präsentieren sollte, es könnte ja dann wirken, als ob das ein Ziel sei (obwohl es ja ein Kompromiss ist, weil man keine richtige Firewall hat bzw. nicht über die entsprechenden Proxies und Gateways verfügt).
Eine Workstation mit `Daten im Netzlaufwerk' kann man fix neuinstallieren, wenn ein Virus drauf ist, aber einen gehackten Groupwareserver vielleicht nicht so einfach (weil man z.B. nicht weiss, welche Dokumente verändert wurden).
Ja. Ich hatte an anderer Stelle im Sommer das zweifelhafte Vergügen, einen Angriff auf einen Rootserver hinnehmen zu müssen.
Ja, sowas kann schnell teuer werden, wenn man 10.000 EUR Traffic bezahlen soll :(
Ach so, die Kiste muss selbst natürlich sicher sein, also sorgfältig machen, weil hier sicherlich extrem Angriffe von innen zu erwarten sind (die man vermutlich mit einem Paketfilter [Firewall] nur schwer unterdrückt bekommt, da HTTP ja dann eh erlaubt werden muss).
Kiste? In der DMZ würde ich nicht mehr zwischen drinnen und drausen unterscheiden wollen. *Alle* sind dann potentiell *böse* ;-)
Ich meinte, alle Maschinen sind vor allem ja Angriffen von *innen* ausgesetzt. Rein praktisch würde ich mehr `unerlaubte Benutzung' (Datenspionage wie Passwortangriffe oder gar Daten-Manipulation etc pp) durch Schüler erwarten, als durch Hacker von aussen. Dabei können Schüler natürlich ihr intern erworbenes Netzwissen (Struktur, Passwörter) auch für Angriffe von aussen nutzen. Ich bin mir sicher (auch wenn ich keine Zahlen habe), dass an Unis die allermeisten Angriffe durch Studenten erfolgen. Ist bei Schulen vermutlich ähnlich. Sind die Schüler unter 18, ist es sicherlich nur noch viel schlimmer und man kann nichts wirklich dagegen tun :)
Für DMZ vielleicht ein Satz von vmwares oder sowas? Könnte mir vorstellen, wenn man z.B. 5 virtuelle Maschinen hat, dass man sich da prima ein Internet simulieren kann (einfach mehrere IPs und paar dummy webseiten), dann eine dreiteilige Firewall (Paketfilter, Proxies, Paketfilter) und ein Angriffshost. Clients sind intern ja da. VMware Server kostet ja nichts mehr. Andere Produkte kenne/benutze ich nicht, es gibt aber natürlich auch andere.
Mir ist nicht klar, was genau du da meinst.
Ich würde auf einer physikalischen Maschine 5 virtuelle Maschinen installieren. Da kann man sich das flexibel konfigurieren. Man kann sogar die Netzwerkverkünpfungen ändern, ohne Kabel zu brauchen. Von der Konsole aus sieht man es aber nicht. Wer will, kann ein paar sTP Kabel auf den Tisch legen oder an die Wand kleben (es ist ja ein Irrglaube, dass Netzwerke anschaulich seien, wenn man sie nicht aufmalt, und wenn man sie aufmalt, sieht man zwischen physikalisch und virtuell auch keinen Unterschied). Diese virtuellen Maschinen kann man dann entsprechend nutzen. Da kann man auch schnell verschiedene Linuxe probieren etc. Es gibt im Internet sogar viele freie VMware Images zum Download. Da kann man dann zeigen, was wann wie passiert. Und selbst wenn ein Image kaputt ist (weil z.B. gar keine IP Adresse mehr da ist, weil man sich vertan hat), muss man nicht zum Server laufen und ne CD booten, sondern bloss die VMware zum letzen Snap zurücksetzen (bzw. Image-files [die Grossen] aus'm Backup holen und die Files überschreiben).
Ja, das ist eigentlich komisch, in der Tat. Aber MS hat die bunteren Prospekte (und da ist `unter der Haube' immer alles furchtbar kompliziert).
Ja, ich habe bspw. mal die MFC in der Tiefe kennen lernen *dürfen*, *schütteltsichgradalswärenlautermonsterimzimmer*.
Ja, objektorientierte GUI Programmierung. Mit C Macros. lol. Aber schnell ist der Kram, dass muss man MS lassen. Java Swing ist schön zu programmieren, aber schlecht zu benutzen (immer träge)...
Immerhin, *duckundganzschnellwegrenn* ist manches in der probrietären Welt scheinbar besser geworden. Als ein Beispiel, auf das ich kaum noch verzichten möchte, sei auf die Softwareverteilung im AD verwiesen. Mehr würde mir jetzt aber auch nicht einfallen - Bitte: Friedliche Weihnachten! ;-) (noch'n *duckundganzschnellwegguck*) Kenn mich da nicht aus, aber AD ist, wie ich finde, meistens einfach zu kompliziert (`Defective Actory' :)). Ich finde auch, dass es besser geworden ist. Ein Windows XP stürzt im Normalbetrieb in der Praxis normalerweise halt auch nicht mehr ab. Dafür ist Linux schlechter geworden (wenn man ein CD Rom wechselt, kann man es vom yast nicht verwenden, bis man eine Hardwareerkennung [im Gerätemanger? lol] durchgeführt hat).
In bestimmten Räumen sind an allen Schülertischen LAN-Steckdosen. Leider ist das nicht weiter segmentiert, so dass ich nur mittels DHCP regeln kann, wer wie verbunden wird. Da ich das sowohl unter w2k als auch oss machen konnte, läge mir viel daran, dem w2k3-Server die DHCP-Serverautorität auf Dauer zu rauben.
kann ich nicht viel zu sagen. Ich würde nur bekannte MAC-Adressen erlauben, unbekannte müssten sich registrieren (z.B. private Laptops). Das kann man beliebig kompliziert machen (MAC-Address-Filtering), ist aufwändig und macht kaum Spass. Meistens verzichtet man daher darauf. Auch daher sind viele Netze kaum vor Angriffen von innen geschützt.
WLan (=Wifi?) ist wenn, dann nur inerhalb der DMZ erlaubt.
(ja sorry, ist das gleiche. In Deutschland heisst es WLAN, sonst Wifi). ohh-ohh, wenn jeman seinen Laptop mit WLAN und einem LAN Kabel verbindet, hat kann er prima um Deine Firewall herrumrouten :( Ich würde für WLAN unbedingt ein eigenes Netz machen. Hab ich sogar zu Hause so. Für unbekannte DHCP Clienten, wenn überhaupt erlauben, dann auch eigenes Netz. Diese beiden eigenen Netze würde ich sehr restriktiv machen. Nee, ich würde gar kein WLAN machen. Wozu auch. Unterricht findet an festen Plätzen statt und da muss ein Kabel hin.
So die Idee - Ich lass mich da gern noch korrigieren, doch erscheint mir ein WLan konzeptionell zu unsicher. Apriori möchte ich den LAN-Teilnehmern da ein vergleichsweise höheres Vertrauen schenken.
Richtig, ein WLAN ist konzeptionell unsicher.. Ein LAN ohne physischen Zugriffsschutz (sprich, man kann irgendwas irgendwo ranhängen) ist allerdings ziemlich genauso unsicher.
Na ja, und wenn es mal einen Tag nicht geht, muss halt zu Hause gesaugt werden...
hehe ;-) Hier macht es auch Sinn, den Schülern klar zu machen, was sie sich im Zweifel aufgrund der potentiellen Strafbarkeit alles verbauen könnten. Da wissen die oft mehr als ich :-)
(OT Meinung) Ich glaube, heute ist vielen im Prinzip schon klar, wie die potentielle Strafbarkeit aussieht. Aber in der Praxis werden Software, Musik und gar Filme kopiert, getauscht und sogar `verkauft', es gibt Gewalt an Schulen, einige wohl schon mit Metalldetektoren, Butterflymesser (ohne Waffenbesitzkarte) bei Schülern, verfassungsfeindliche Symbole als Aufnäher an Rucksäcken oder Zeichnungen irgendwo, sogar von Schutzgelderpressungen muss man lesen. Die Liste liesse sich fortsetzen. Meiner Meinung nach sieht man das Versagen der Bildungspolitik und `Schule' da viel besser, als bei irgendwelchen PISA Studien.
Ja, squid oder ähnliches hilft. Obwohl heute die ganze Werbebildchen per default erstmal wohl immer `uncachable' sind und jedes Mal neu geladen werden sollen (weger der Statistiken und Dynamik). Da kann man aber wohl gut was hinkonfigurieren, um das zu verbessern. Ich hab mal gehört, das Werbebanner einen nennenswerten Anteil am Traffic haben, habe aber keine Zahlen zur Hand. Muss man dann halt sehen. Für wikipedia.org ist ein cache bestimmt prima.
dacore - Das wird ein Kampf gegen Windmühlen bleiben...
Windmühlen? Ich sehe Werbung als ein echtes Problem. Aber viele haben sich vermutlich schon so daran gewöhnt, mag sein, ja.
Aber irgendwas macht man doch immer auf die Win-Workstations drauf, oder? Na ja, keine Ahnung. Ich würde jedenfalls was installieren und beten. Ja, auch mich nervt der Kram sehr (auch wenn ich andere Probleme damit hatte).
Ja, und ich möchte nicht wissen, wieviel Leistung wir alle dafür hergeben müssen. 30%? Wenn man das mal in Watt hochrechnen würde ...
Idealerweise würde in diesem Fall jeder Schüler einen kleinen PC bekommen, vielleicht so ein VIA auf 486 Leistungsniveau. Das ist viel mehr, als man in der Mondfähre hatte. Damit kann man schon unheimlich viel machen (ausser auf Performanceverbrennung angelegte GUIs). Zum Lernen bestimmt viel besser geeignet. Aber das will man wohl oft gar nicht (das finde ich falsch und dazu könnte ich mich aufregen, aber ist ja nicht das Thema). Jedenfalls würde /das/ Strom sparen :)
Immerhin sind die Schüler-PCs relativ gut geschützt, ein reboot und alles ist erst mal wieder im Lot. - so jedenfalls das tägliche *Credo*
Achso, die speichern nichts persistent? Das ist wirklich prima!
Gerade kleine Kinder [...]
Großes Dacore! Ich halte persönlich auch überhaupt nichts davon, PCs als Spielzeug in das Kinderzimmer zu bringen. Autofahren darf man ja auch erst ab 16, doch ist mir die Realität in den Kinderzimmern durchaus bekannt.
(Autofahren im *öffentlichen Strassenverkehr* erst ab 16. Auf privaten Grundstücken (Kinderzimmer) darf man es immer.)
Natürlich ist es kein Geheimnis, dass es sowas gibt, klar. [...]. Natürlich ist es im Einzelfall schwer, eine Grenze zu ziehen.
und es hängt sehr stark von der Altersstruktur der Schüler ab.
Ja, `Schüler', die 30 oder älter sind, sind vermtulich zurückhaltender. Aber ich weiss nicht, ob Schwarzkopierei unter älteren nicht einfach nur seltener ist, weil ältere damit nicht so aufgewachsen sind (meiner Meinung nach spielt das eine Rolle).
[...] Ich weiss nicht, ob der Aufwand tragbar ist, aber ich würde erwarten, dass das kaum jemand nutzt [...]
Ich konnte beobachten, dass Sperren nur als sportliche Herausforderungen angesehen und schneller umgangen werden, als man sich es vorstellen kann ...
Dann muss man die Sperren verbessern. Wenn man es nicht hinbekommt, muss man das Internet `emulieren', beispielsweise, in dem man die notwendigen Webseiten lokal spiegelt. Sowas haben wir früher teils in Firewall-Test-Setups gemacht. Ist beim ersten Mal aber recht aufwändig. Jedenfalls ist die Schule ja kein Internetserviceprovider.
ich find sie dick, für eine Schule; mein erstes Modem hatte 14kbit, die es nie erreichte ;) 6 MBit... Für alles ausser `multi-media' ist das hoffentlich mehr als ausreichend.
Leider ist es immer genau das, was Schüler sich so nebenbei gerne ansehen ...
Ja, mein Reden, der "automatische, verantwortungsbewusste Umgang" funktioniert so einfach eben nicht. Also blocken.
Ja, es gibt Sammlungen bei: http://www.linux-schulserver.de oder OSS spezifisch: http://de.opensuse.org/Bildungswesen - Doch ist ein heterogener Mix aus serverseitigem Windows und Linux dort eher selten vertreten.
heterogene Netze sind doch normal, oder nicht?!
Jedenfalls wird da kaum eine DMZ eingerichtet ;-)
vielleicht hat das ja einen guten Grund... ;) oki, Steffen -- Dieses Schreiben wurde maschinell erstellt, es trägt daher weder Unterschrift noch Siegel. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org