Hallo, ich suche einen Einstieg in Linux (openSuSE) Sicherheit. Meine Suche mit google hat nichts brauchbares ergeben. Ich habe viel Dokumentation zu diversen Spezialthemen gefunden, suche jedoch einen Einstieg, der das Thema Sicherheit in seiner ganzen Breite erfasst. Es geht zum einen darum, einen moeglichst erschoepfenden Ueberblick ueber potentielle Sicherheitsluecken zu erhalten. Dann stellt sich natuerlich die Frage, wie man diese Luecken schliesst (Verhaltensmassnahmen, Werkzeuge, ...) Schliesslich interessiert mich, welche freien Werkzeuge zur Verwendung mit Linux (openSuSE) es gibt. (firewall, virenscanner, testing, monitoring, intrusion detection, tripwire, grsecurity, SELinux, apparmor, .....) Welche davon empfehlen sich fuer den Einsatz in der Praxis -- im Sinne einer gewissen Reife? - Andreas -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Andreas,
ich suche einen Einstieg in Linux (openSuSE) Sicherheit.
Mir fällt spontan die linux-user 01.2007 ein. Heftthema Security (Firewalls, Rootkits, Filterregeln, Virenscanner, Spambots) Für den Einstieg ist das sicher geeignet. Im Netz stehen allerdings nur 2 Artikel des Schwerpunktes: http://www.linux-user.de/ausgabe/2007/01/ Gruß Robert -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Andreas schrieb:
Hallo,
ich suche einen Einstieg in Linux (openSuSE) Sicherheit.
Meine Suche mit google hat nichts brauchbares ergeben.
Sicherheit ist eben keine Werbebotschaft
Ich habe viel Dokumentation zu diversen Spezialthemen gefunden, suche jedoch einen Einstieg, der das Thema Sicherheit in seiner ganzen Breite erfasst.
Es geht zum einen darum, einen moeglichst erschoepfenden Ueberblick ueber potentielle Sicherheitsluecken zu erhalten.
???? über die Progammierfehler von übermorgen??
Dann stellt sich natuerlich die Frage, wie man diese Luecken schliesst (Verhaltensmassnahmen, Werkzeuge, ...)
patchen...
Schliesslich interessiert mich, welche freien Werkzeuge zur Verwendung mit Linux (openSuSE) es gibt. (firewall, virenscanner, testing, monitoring, intrusion detection, tripwire, grsecurity, SELinux, apparmor, .....)
das geht alles.... du wirst keine "eierlegende Wollmilchsau" finden!
Welche davon empfehlen sich fuer den Einsatz in der Praxis -- im Sinne einer gewissen Reife?
- Andreas
Sicherheit ist eingentlich ein Konzept ! zur Konzeptrealisierung hat so jeder seine Lieblingswerkzeuge.... aber das kommt darauf an - welche Dienst du brauchst..wie die eingeschätzt werden usw. Gruss Fred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo! Andreas wrote:
ich suche einen Einstieg in Linux (openSuSE) Sicherheit.
Meine Suche mit google hat nichts brauchbares ergeben.
Komisch. Bestimmt ist Dein Google kaputt ... Versuch es doch mal mit Büchern: Einige Beispiele - nicht brandneu, aber zum Einstieg immer noch gut: Maximum Security, Fourth Edition by Anonymous Publisher: Que Pub Date: December 16, 2002 Print ISBN-10: 0-672-32459-8 Print ISBN-13: 978-0-672-32459-8 Pages: 976 Linux System Security: The Administrator's Guide to Open Source Security Tools by Scott Mann; Ellen L. Mitchell Publisher: Prentice Hall Pub Date: December 23, 1999 Print ISBN-10: 0-13-015807-0 Print ISBN-13: 978-0-13-015807-9 Pages: 604 Linux Server Security, 2nd Edition by Michael D. Bauer Publisher: O'Reilly Pub Date: January 2005 ISBN: 0-596-00670-5 Pages: 542 Real World Linux Security: Intrusion Prevention, Detection, and Recovery, Second Edition by ??? Publisher: Prentice Hall Pub Date: November 13, 2002 ISBN: 0130464562 Pages: 848 HTH, Joachim -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo ML, endlich ist mal wieder "zwischen den Jahren" und Zeit, in der ich immer mal Neues und nicht Alltägliches vertiefe. Linux und Sicherheit sollte auch da wie hier eine ständige Rubrik sein. ... Am Sonntag, 23. Dezember 2007 schrieb Joachim Marx:
Hallo!
Andreas wrote:
ich suche einen Einstieg in Linux (openSuSE) Sicherheit. [...] Versuch es doch mal mit Büchern:
dergleichen finde ich immer noch eine brauchbare und relativ verlässliche Alternative, denn durch ergurgeln findet sich *erstmal* auch ziemlich viel Müll.
Einige Beispiele [...]
Ich suche noch einen brauchbaren Einstieg in die Welt der iptables/firewall. Gibt es da ein entsprechendes aktuelles Standardwerk? Das Thema ist ja in deiner Literaturliste hier und da vertreten und etwas mehr davon würde mir guttun. Habt ihr da einenTipp für mich? TIA -- Mit freundlichen Grüßen R. C. Graulich -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
R. C. Graulich wrote:
Ich suche noch einen brauchbaren Einstieg in die Welt der iptables/firewall. Gibt es da ein entsprechendes aktuelles Standardwerk? Das Thema ist ja in deiner Literaturliste hier und da vertreten und etwas mehr davon würde mir guttun. Habt ihr da einenTipp für mich
Linux-Firewalls - Ein praktischer Einstieg, 2. Auflage Andreas G. Lessig 2. Auflage Januar 2006 ISBN 3-89721-446-6 Seiten 656 Das Buch kannst Du auch komplett online lesen bzw als PDF herunterladen und ausdrucken: http://www.oreilly.de/german/freebooks/linuxfire2ger/toc.html Joachim -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Sonntag, 23. Dezember 2007 schrieb Joachim Marx:
R. C. Graulich wrote:
Ich suche noch einen brauchbaren Einstieg in die Welt der iptables/firewall. Gibt es da ein entsprechendes aktuelles Standardwerk? Das Thema ist ja in deiner Literaturliste hier und da vertreten und etwas mehr davon würde mir guttun. Habt ihr da einenTipp für mich
Linux-Firewalls - Ein praktischer Einstieg, 2. Auflage Andreas G. Lessig 2. Auflage Januar 2006 ISBN 3-89721-446-6 Seiten 656
Das Buch kannst Du auch komplett online lesen bzw als PDF herunterladen und ausdrucken:
http://www.oreilly.de/german/freebooks/linuxfire2ger/toc.html
Danke! Ich plane ein mittelgroßes Netz (50++ homogene Clients), derzeit allein mit w2k3-Server, um eine DMZ mit interner und externer Firewall zu erweitern. In der DMZ soll ein Web-Server mit Apache2 und ein FTP-Server auf der selben Maschine, zunächst über DynDNS von außen erreichbar sein. Der bisherige W2k3-Server soll im internen LAN weiter seine Dienste anbieten (AD, DHCP, WINS & DNS für das LAN). Für die externe Firewall stehen mir alternativ ein einfacher Router (D-Link) und/oder ein älterer PC mit OSS-10.3 (Oss ist mir lediglich vertrauter als slackware/Debian) zur Verfügung. Der Router kann DynDNS und hat eine komfortabel konfigurierbare Firewall. Was würdet ihr vorziehen und warum? Für die Interne Firewall soll ein relativ schneller PC als Gateway, ebenfalls mit OSS 10.3 eingesetzt werden. Derzeit laufen darauf, wegen eines massiven Softwareupdates auf dem internen und temporär inaktiven w2k3-Servers, die Serverdienste: Apache2, DNS und DHCP. DHCP soll dort deaktiviert werden, da dies auf dem w2k3-Server laufen soll. Ist solch eine Häufung von Serverdiensten auf der internen Firewall sinnvoll? Oder sollte ich da eher zwei Rechner, einen für die Firewall und einen für die restlichen, ausschließlich intern genutzten Serverdienste, reservieren? Der zweite Rechner müßte ein älteres Modell bleiben. Was sind eure Erfahrungen? TIA BTW: Allen OSSen hier ein frohes Weihnachtsfest und ein gesundes 2008! -- Mit freundlichen Grüßen R. C. Graulich -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
* R. C. Graulich wrote on Sun, Dec 23, 2007 at 19:21 +0100:
Ich plane ein mittelgroßes Netz (50++ homogene Clients), derzeit allein mit w2k3-Server, um eine DMZ mit interner und externer Firewall zu erweitern.
wie dick ist der uplink?
Für die externe Firewall stehen mir alternativ ein einfacher Router (D-Link) und/oder ein älterer PC mit OSS-10.3 (Oss ist mir lediglich vertrauter als slackware/Debian) zur Verfügung. Der Router kann DynDNS und hat eine komfortabel konfigurierbare Firewall. Was würdet ihr vorziehen und warum?
Ist mit "Firewall" hier lediglich ein Paketfilter gemeint? Wird Masquerading verwendet? Wenn ja, könnte der D-Link Router ja eventuell tatsächlich reichen; portforwarding ähnliche Sonderregeln, die man für die DMZ braucht, müsste er natürlich unterstützen. Wenn er reicht, würde ich ihn nehmen, weil einfacher.
Für die Interne Firewall soll ein relativ schneller PC als Gateway, ebenfalls mit OSS 10.3 eingesetzt werden.
FÜr einen Paketfilter an einer nicht allzufetten Leitung (wenns um ein paar wenige MBit geht) braucht man vermutlich gar nicht unbedingt einen schnellen PC. Kommt aber auf vieles an. Könnte mir vorstellen, dass ein aktuelles Firewallscript schnell automatisch (mehr oder weniger ungewollt) Tausende von Regeln erzeugt. Wenn man mehrere MBit VPN mit starker Verschlüsselung machen möchte, sollte die Rechenleistung natürlich auch nicht zu knapp sein.
Derzeit laufen darauf, wegen eines massiven Softwareupdates auf dem internen und temporär inaktiven w2k3-Servers, die Serverdienste:
Serverdienste, die wirklich wichtig sind, hab ich am liebsten auf virtuellen Maschinen, aber das muss man natürlich mit Performance oder mehr Hardware bezahlen. Virtuelle Maschinen kann man aber im Problemfall schnell mal auf andere Hardware schmeissen.
Apache2, DNS und DHCP. DHCP soll dort deaktiviert werden, da dies auf dem w2k3-Server laufen soll.
Ist solch eine Häufung von Serverdiensten auf der internen Firewall sinnvoll?
na ja, ich würde das lieber vermeiden wollen. Dann lieber ne kleine alte Maschine zusätzlich, wenn möglich. Ich würde auf einer Firewallmaschine jedenfalls keine Useraccounts wollen, auch keine virtuellen. Ein Webserver für statische Seiten geht natürlich erstmal, aber wenn da auch noch persönliche Seiten (~/public_html) draufliegen sollen oder so, würde ich lieber eine extra-Maschine machen.
Oder sollte ich da eher zwei Rechner, einen für die Firewall und einen für die restlichen, ausschließlich intern genutzten Serverdienste, reservieren? Der zweite Rechner müßte ein älteres Modell bleiben.
Ich würde das ältere dann als Firewall verwenden. Meist meint man ja damit eher einfache Paketfilter. Dafür braucht man bei kleineren uplinks (wenige MBit) keine besonders grosse CPU. Wenn man verschlüsseln muss und/oder ein sehr komplexes Setup hat, würde ich natürlich unbedingt einen Performance-Test machen (die Scripte dann natürlich unbedingt aufheben).
Was sind eure Erfahrungen?
Je einfacher, desto besser die Chancen, dass etwas funktioniert. Keep it simple, stupid. Das gilt auch für die Konfiguration. Wenige Dienste, einfache Regeln usw. Wird ja schnell unübersichtlich. Manchmal werden Sachen einfach, wenn man statt 2 auch mal 3 oder 4 Netzwerkkarten einbaut (da kann man die Zugriffsbereiche segmentieren, ohne intelligenten Switches programmieren zu müssen etc). Als Paketfilter müsste ich auch gar nicht unbedingt SuSE nehmen wollen. Lieber was kleines. Da gibts ja etliche Projekte. Würde das Filesystem vielleicht sogar auf DVD brennen (man kann ja ne RW nehmen), schwieriger zu manipulieren, wenn gehackt, da gabs Projekte, hab leider gerade keinen Namen im Kopf. Vielleicht geht das auch mit http://leaf.sourceforge.net/ oder OpenWRT. Hat man mehrere einfache und von einander unabhängige Teile (z.B. Router/Firewalls/Server), kann man die oft einfacher administrieren. Man updated dann nur den Paketfilter usw. Sonst (all-in-one) hat man vielleicht das Problem, dass man den Paketfilter nicht aktualisieren kann, weil das neue PHP dann die Anwendung XYZ nicht mehr richtig ausführt (gut ist, wenn mans voher weiss, weil man es wirklich getestet hat :)). Daher finde ich die Idee mit den dedizierten (ggf. virtuellen) Servern gut. Wenn am Ende die Anwendung XYZ dann heute noch auf SuSE 8.2 laufen muss, störts ja kaum, wenn man der Firewall trauen kann, weil da alle patches (und möglichst wenig) drauf sind. Wenn es um ein "normales Netz" geht, reicht das oft vermutlich schon. Für höheren Schutzbedarf muss man zusehen, dass keine Verbindung direkt nach aussen oder gar umgekehrt möglich ist. Ob die DMZ unter diese Regel fällt oder nicht und wie im Detail, muss man sehen. Intern müsste dann jedenfalls *alles* über einen entsprechenden Proxy. Ob man da Virenscan mit einbaut oder nicht, muss man sehen (das ständige geupdate ist zumindestens theoretisch eine ziemliche Sicherheitsgefahr). Bei HTTP und Mail ist ein Proxy noch eher einfach (kommt natürlich sehr drauf an, wieviel funktionieren muss und was man verbieten möchte etc). Für Mail kann man einen kleinen Mailserver nehmen (was evtl. gegen zu kleine Linuxe wie OpenWRT sprechen könnte). Na ja, und dann muss man sehen, was für Protokolle man wie filtern können muss. Manchmal ist sowas wie SOCKS akzeptabel, manchmal nur für bestimmte Benutzer (wenn man sich den am Paketfilter anmelden kann, was mit Boardmitteln vermutlich erstmal nicht mehr) oder für bestimmte PC (also IPs, geht evtl. in einem einfachen Windows-Netz, da hat ja oft jeder "seinen" PC). (die kurze Antwort ist also "hängt davon ab", aber das ist wohl wenig hilfreich :)) oki, Steffen -- Dieses Schreiben wurde maschinell erstellt, es trägt daher weder Unterschrift noch Siegel. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Für die externe Firewall stehen mir alternativ ein einfacher Router (D-Link) und/oder ein älterer PC mit OSS-10.3 (Oss ist mir lediglich vertrauter als slackware/Debian) zur Verfügung. Der Router kann DynDNS und hat eine komfortabel konfigurierbare Firewall. Was würdet ihr vorziehen und warum? Wenn ich sowas lese stellt sich mir alles auf und ich habe ernsthaft Zu fragen, bist du ein heimnetzwerkaadmin ode rein professional admin Nimms nicht persoenlich aber ein dlink ode ein "alter" pc hat im
Ist mit "Firewall" hier lediglich ein Paketfilter gemeint? Wird Masquerading verwendet? Wenn ja, könnte der D-Link Router ja eventuell tatsächlich reichen; portforwarding ähnliche Sonderregeln, die man für die DMZ braucht, müsste er natürlich unterstützen. Wenn er reicht, würde ich ihn nehmen, weil einfacher. Ich muss zugeben ich habe nicht den ganzen tread gelesen was dein ziel ist. So wie ich das Hier rauslese willst du in der DMZ dienste bereitstellen. Ich wuerde dir hier einen Hardware Router empfehlen an dem ports configurierbar sind. Configure hier 3 netzwerke, pull deine Rules rein und feertig ist die geschichte. Alternative kann ich dir den ISA auch empfehlen, ist Zwar ein Microsoft Produkt aber verdammt maechtig (wuerde aber in erster
Hallo Ich geht davon aus das es sich nicht um ein Heimnetzwerk handelt sondern um ein Gewerbliches. professionllen Einzatz nichts verloren. Ich kann die aus eigener erfahrung berichten 1. performance unvergleichlich 2. geht die der "alte" rechner kaput wird dein chef die gleich vorwerden "war ja ein alter rechner" 3. professionelle arbeit setzt professionelle hardware voraus 4. warum meinst du das firmen geld in die hand nehmen wenn alles mit homeuser equipment zu erledigen ist linie Hardware empfehlen Fuer Professional environment).
Serverdienste, die wirklich wichtig sind, hab ich am liebsten auf virtuellen Maschinen, aber das muss man natürlich mit Performance oder mehr Hardware bezahlen. Virtuelle Maschinen kann man aber im Problemfall schnell mal auf andere Hardware schmeissen. Richtig. An einem Tod must du sterben Entweder Viele Server - Viel srtreomverbrauch, redudanze easy zu konfigurieren Nur einen server - geringerer Stromverbrauch dafuer muss das eine Hammer hardware sein Die mehrere VM's packt, redudanze muss wohlueberlegt sein
Apache2, DNS und DHCP. DHCP soll dort deaktiviert werden, da dies auf dem w2k3-Server laufen soll.
Vorbildlich ;-)bis auf der Apache
Ist solch eine Häufung von Serverdiensten auf der internen Firewall sinnvoll?
Nein. Vergiss nicht - professioneller einzatz. Eine Firewall ist eine Firwall und Kein Dienste Server.
Oder sollte ich da eher zwei Rechner, einen für die Firewall und einen für die restlichen, ausschließlich intern genutzten Serverdienste, reservieren? Der zweite Rechner müßte ein älteres Modell bleiben.
Schon wieder "aeltere Rechner" Ich hofe das du keine Firma betraeust. Das ist grob fahrlaessig.
Je einfacher, desto besser die Chancen, dass etwas funktioniert. Keep it simple, stupid. Exactly
Wie ich schon oben erwaehnt hatte. Ich habe den vortread nicht gelesen nur diese mail hier Wenn du ein reines heimnetzwerk betreiben willst (mit ca 50 PC's dann vergiss das mit dem Professionellen einsatz) Schoenen abend Juergen -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
* Juergen L wrote on Sun, Dec 23, 2007 at 22:21 -0000:
Ich geht davon aus das es sich nicht um ein Heimnetzwerk handelt sondern um ein Gewerbliches.
Ja bestimmt, wer verteilt zu Hause sowas auf vier Maschinen... :)
Nimms nicht persoenlich aber ein dlink ode ein "alter" pc hat im professionllen Einzatz nichts verloren.
Ich mag alte PCs. Wenn die zwei oder drei Jahre lang gut liefen, dann besteht die Chance, dass es weitere zwei Jahre so bleibt. Oder gar vier, je nach dem, wie lange man die nutzt. Und bloss weil eine Maschine jetzt als Fileserver nicht mehr die erwünschte Performance bringt, weil man Gigabit einführt oder so, wird das ja davon nicht über Nacht zu was schlechtem. Die Hardware bleibt ja, wie sie ist, nur die Anforderungen haben sich geändert. Und man hat keine Treiberprobleme. Also warum gleich wegwerfen? :) --> Rettet die alten Server!! :-)
Ich kann die aus eigener erfahrung berichten 1. performance unvergleichlich
um 2 oder 4 MBit zu routen, braucht's doch gar nicht so viel Performance. Ein performanter Router schafft mehrere Gigabit, das ist mehr als das 500 fache... :)
2. geht die der "alte" rechner kaput wird dein chef die gleich vorwerden "war ja ein alter rechner"
ja, und? Dann kann man den neuen aus'm Reparaturbudget bezahlen ^^ :)
3. professionelle arbeit setzt professionelle hardware voraus
(was ist "professionell"? Normalerweise, wenn man es beruflich und nicht als Hobby macht. Viel aber billige Hardware zu verwenden, muss nicht schlecht sein. Redundanz hilft bei Störungen und wenn man jeweils zwei kleine Router als Reserve im Schrank hat, kann man auch schnell wechseln).
4. warum meinst du das firmen geld in die hand nehmen wenn alles mit homeuser equipment zu erledigen ist
Ein DLINK DFL-1600 kostet auf www.dlinkshop.com 7.000 Dollar, für viele Firmen ist das schon 'ne ziemlich Menge Geld für'n Router...
Hier rauslese willst du in der DMZ dienste bereitstellen. Ich wuerde dir hier einen Hardware Router empfehlen an dem ports configurierbar sind.
Nu doch ein Router? :) Was kostet ein Hardware Router, der Firewallfunktionen hat, die über'n Paketfilter hinausgehen?
Serverdienste, die wirklich wichtig sind, hab ich am liebsten auf virtuellen Maschinen, aber das muss man natürlich mit Performance oder mehr Hardware bezahlen. Virtuelle Maschinen kann man aber im Problemfall schnell mal auf andere Hardware schmeissen. Richtig. An einem Tod must du sterben Entweder Viele Server - Viel srtreomverbrauch, redudanze easy zu konfigurieren Nur einen server - geringerer Stromverbrauch dafuer muss das eine Hammer hardware sein Die mehrere VM's packt, redudanze muss wohlueberlegt sein
Na ja, oft sind die Windows-Server richtig fett, dann am besten noch doppelt und dediziert (2 x AD Ctrl + Exchange und Fileserver am besten noch extra), dass der eine Apache Linuxserver kaum noch auffällt :-) Ist Stromverbrauch eigentlich ein Thema? Oder geht es da nur um die Abwärme? Gut, ist im Endeffekt ja das gleiche...
Oder sollte ich da eher zwei Rechner, einen für die Firewall und einen für die restlichen, ausschließlich intern genutzten Serverdienste, reservieren? Der zweite Rechner müßte ein älteres Modell bleiben. Schon wieder "aeltere Rechner" Ich hofe das du keine Firma betraeust. Das ist grob fahrlaessig.
Grob fahrlässig? Das ist vielleicht übertrieben. Er hat ja nichtmal geschrieben, was er da hat.
Wie ich schon oben erwaehnt hatte. Ich habe den vortread nicht gelesen nur diese mail hier Wenn du ein reines heimnetzwerk betreiben willst (mit ca 50 PC's dann vergiss das mit dem Professionellen einsatz)
Na ja, wer zu Hause 50 PCs in Betrieb hat, der macht vermutlich was falsch oder braucht viel Performance :-) oki, Steffen -- Dieses Schreiben wurde maschinell erstellt, es trägt daher weder Unterschrift noch Siegel. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo > Ich mag alte PCs. Wenn die zwei oder drei Jahre lang gut liefen, dann > besteht die Chance, dass es weitere zwei Jahre so bleibt. Oder gar > vier, je nach dem, wie lange man die nutzt. Und bloss weil eine > Maschine Fuer eine Company ist ein 3 Jahre alter rechner "abgeschrieben". Also kein Pfifferling mehr wert. Ich kenn das halt aus Erfahrung. Bleibt ein alter PC Stehen und die company kann 3 Stunden nicht arbeiten bis der Admin vor ist ist Oder es gibt kleiner Probleme um die configuration wieder hinzubekommen oder Was auch immer dann wird dir jeder chef vorhalten "du hast ja einen "alten PC" Verwendet. Setzt du neue Hardware ein und die faellt aus kraeht kein Hahn danach. Ich muss dir im grunde schon recht geben das "alte Rechner" nicht schlechter Sind. > --> Rettet die alten Server!! :-) Jepp. Nur in dem vorigen Tread wird nicht einmal das Word Server gebraucht Ich gehe bei einem "alten Rechner" von einem Standartoffice PC aus. > (was ist "professionell"? Normalerweise, wenn man es beruflich und > nicht > als Hobby macht. Viel aber billige Hardware zu verwenden, muss nicht > schlecht sein. Redundanz hilft bei Störungen und wenn man jeweils zwei > kleine Router als Reserve im Schrank hat, kann man auch schnell > wechseln). Auch hier Erfahrungen: ich hatte einen Kunden. Den seine Aussendienstler waren mit einem DLInk angebunden (VPN). Das VPN lief absolute nicht stabile, ein vernuentliges arbeiten War nicht drin. Also wurden die DLinks (keine Ahnung was die genau gekostet hatten Schaetze mal ca 100 - 120 Euro) durch Bintec Ersetzt (400 Euro). Und siehe da - Die aussendienstler beschwerten Sich weil Sie auf einemal im arbeitnehmer modus arbeiten Konnten ;-) Kein Ausfall mehr. Alles lief stabil und die Company safed money > > Ein DLINK DFL-1600 kostet auf www.dlinkshop.com 7.000 Dollar, für viele > Firmen ist das schon 'ne ziemlich Menge Geld für'n Router... Muss jetzt erlich gestehen das ich der meinung war DLINK ist nur billig. Aber erlich gesagt der sich einen DLink kauft ist selbstschuld. Markfuehrer Ist nun mal cicso und 3Com. Es muss ja nicht mit kanonen auf spatzen schiesen Sein (wobei das schon spass machen kann) aber ein schooner mittelklasse Router Von cisco oder 3Com (easy zu konfigurieren, ausfaelle habe ich bis jetzt noch nicht Erlebt) fuer approx 1000 Euro. > Nu doch ein Router? :) Klar, habe nie das gegenteil behauptet ;-) Aber mal im ernst. Dazu muss man auch die genaue umgebung kennen damit hier ein Wirklich gutes statement abgegeben warden kann. > > Was kostet ein Hardware Router, der Firewallfunktionen hat, die über'n > Paketfilter hinausgehen? Klar du kannst die dinger kaufen bis warscheinlich 20000 Euro aber wie Oben beschrieben ein ca 1000 Euro device sollte das netzt werk absolute Performant und ohne verluste mamagen koennen. Ich sag nicht das e seine Linux buechse mit 3 Netzwerkkarten nicht tut. > Na ja, oft sind die Windows-Server richtig fett, dann am besten noch > doppelt und dediziert (2 x AD Ctrl + Exchange und Fileserver am besten > noch extra), dass der eine Apache Linuxserver kaum noch auffällt :-) Das ist von den anforderungen abhaenging und davon mit was die company geld verdient. Wird viel mit internet gearbeitet kann ein ausfall von 3 stunden bei 50 mitarbieter Mal schnell richtig geld kosten. Das ist eine einfach rechnung. > > Ist Stromverbrauch eigentlich ein Thema? Oder geht es da nur um die > Abwärme? Gut, ist im Endeffekt ja das gleiche... Beides. Warum meinst du warum viele Firmen zu VM's uebergehen. Mehrere vorteile - weniger hardware - weniger strom (das ist mitlerweilen ein ziemlicher bestandteil bei laufenden kosten einer company) - weniger platz (serverraum) - waerme - hardware wird efectiver genutzt Nachteil: - hardware MUSS redundant ausgelegt warden da bei einem ausfall dann gleich mal 5 server dienste stehen > > Grob fahrlässig? Das ist vielleicht übertrieben. Er hat ja nichtmal > geschrieben, was er da hat. Da hast du recht. > Na ja, wer zu Hause 50 PCs in Betrieb hat, der macht vermutlich was > falsch oder braucht viel Performance :-) Oder hat keine anderen Hobbys ;-) Wie schon gesagt: die anforderungen der Commpany ist der entscheidente facor. Was kostet Es der Company wenn sie 3 Stunden nicht arbeiten kann. Und wie schon oben beschrieben sind Das erfarhungswerte. Ich wuerde aufgrund dieser NIEE einen DLINK einsetzen. Jeder kennt cisco Oder 3Com und das ist einfach Hammerhardware. Sagen wir mal soo - Kunde ist Koenig. Ich wuerde Ein Konzept vorbereiten be idem alle Punkte abgedeckt sind. Mit neuer Hardware und mit der bestehenden Hardware und einfache rechnungen auffuehren. Dann bist du fein raus aus der geschichte wenns brennt da du ja dem chef auch alternativen angeboten hattest. Aber zurueck zum eigentlichen tread: Wenn es billig sein soll, was es ja nur auf dem ersten blick ist, wuerde ich eine Linux kiste Mit ipcorp hinstellen. Dieser managed zuverlaessig und gut alles. Ich bin/war im homeuser bereich Sehr zufrieden mit der software. Beherscht alles was du willst. Finde aber ein bisschen kompliziert Die konfig aber wenn du's einmal raushast ist das kein problem mehr. Ich weis: in Deuschland selbst die Comapany's haben kein geld mehr da der statt nur noch robbert. Deswegen kann man niemenden mehr einen vorwurf machen auf kostenguenstige loesungen zurueck zu gehen. Im moment arbiete ich fuer eine kompanie: wenn ich einen Router/switch brauche heist es nur trocken: Soll es der fuer 10000 oder 11000 Euro sein ;-). Aber hallo es sind nur 3 Server dahinter - egal nur Das beste ist gut genug - da macht es spass zu arbeiten aber das ist auch kein 50 PC Netzwerk. Vielleicht kann Andreas was zu dem environment sagen. Muss aber nicht sein. Greetings Juergen PS: plz entschuldigt die Fehler. Ich arbeite mit einem Englischen Office und hier Wird mir jedes wort rot merkiert oder in falsche ausgebessert. Gruesse an alle Far away from Germany ;-) -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo ML, Am Montag, 24. Dezember 2007 schrieb Juergen L:
[...] Bevor hier alle vergessen, dass gerade Weihnachten angefangen hat: Es handelt sich um ein gewachsenes Schulnetz. Schulen können nichts dergleichen abschreiben und unterliegen Haushaltszwängen. Dennoch versuche ich, mit den mir zu Verfügung stehenden Mitteln ein gewisses Maß an Sicherheit bei einer befriedigenden Performance zur Verfügung zu stellen. So kann bspw. schon eine leere Tintenpatrone dafür reichen, dass das Drucken im Netz für ein paar Wochen brach liegt...
Das aDSL (derzeit DSL 6000) wird kostenlos von "Schulen ans Netz" gestellt. Die Hardware muss so reichen wie sie ist. Die ausgemusterten älteren PCs entstammen irgendeiner Pentiumklasse mit 128MB Ram und 40 GB HDDs. Eine Routerbox oder einen PC dort hinzustellen hat Auswirkungen auf die Energiekosten, die wir auf jeden Fall senken müssen ... so könnte jede Entscheidung näher erläutert werden. Es sind eben keine Randbedingungen eines kommerziellen oder eines privaten Netzes mit ihren unermesslichen Haushalten:-( ... und Jürgen L, nein ich nehme das nicht persönlich ;-) und bin dankbar für jedes Argument aus euren professionellen Kreisen! Dennoch möchte ich den Spagat versuchen, den Schülern moderne, neben den MS Angeboten auch auf openSource basierende Lösungen und Dienste im Netz anzubieten. Unterstützung dafür bekomme ich kaum. (Spenden werden gerne angenommen, z.B: den
DLINK DFL-1600 kostet auf www.dlinkshop.com 7.000 Dollar ;-)
Also in diesem Sinne: Fröhliche Weihnachten! -- Mit freundlichen Grüßen R. C. Graulich -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
* Juergen L wrote on Mon, Dec 24, 2007 at 05:32 -0000:
Ich mag alte PCs. Wenn die zwei oder drei Jahre lang gut liefen, dann besteht die Chance, dass es weitere zwei Jahre so bleibt. Oder gar vier, je nach dem, wie lange man die nutzt. Und bloss weil eine Maschine Fuer eine Company ist ein 3 Jahre alter rechner "abgeschrieben". Also kein Pfifferling mehr wert.
Der Buchwert nicht immer der absolute, wahre Wert. Eigentlich ist es sogar bloss ein Wert für's Finanzamt... :)
Ich kenn das halt aus Erfahrung. Bleibt ein alter PC Stehen und die company kann 3 Stunden nicht arbeiten bis der Admin vor ist ist Oder es gibt kleiner Probleme um die configuration wieder hinzubekommen oder
Ich finde, eine Firma sollte arbeitsfähig bleiben, wenn mal ein PC stehenbleibt. Obwohl ich zugeben muss, ich würde auch lieber nur mit weniger als drei Jahre alter Technik arbeiten, kenne das so aber nicht. Darf man fragen, wo Du arbeitest? Aber PM, ist schon OT genug hier, was :)
--> Rettet die alten Server!! :-) Jepp. Nur in dem vorigen Tread wird nicht einmal das Word Server gebraucht Ich gehe bei einem "alten Rechner" von einem Standartoffice PC aus.
Komische Begriffe gibt es heutzutage. Na ja, wenn MS sonst nichts erreicht hat, wenigstens den Begriff "Standartoffice PC" haben sie auf Linuxlisten gebracht :-) hihi Jedenfalls kann man mit einem "Standartoffice PC" (z.B. 3 Jahre alt) ne Menge machen. Die Rechenleistung dieser Maschinen ist schon erstaunlich (besonders, wenn man die GUI und Java-Sachen mal aussen vorlässt). Für so'n bissel Paketfilterei würde ich z.B. gern kleinere CPUs verwenden, weil man die noch passiv kühlen kann (und wenn man einen Lüfter braucht, kann auch keiner kaputt gehen :)).
(was ist "professionell"? Normalerweise, wenn man es beruflich und nicht als Hobby macht. Viel aber billige Hardware zu verwenden, muss nicht schlecht sein. Redundanz hilft bei Störungen und wenn man jeweils zwei kleine Router als Reserve im Schrank hat, kann man auch schnell wechseln). Auch hier Erfahrungen: ich hatte einen Kunden. Den seine Aussendienstler waren mit einem DLInk angebunden (VPN). Das VPN lief absolute nicht stabile, ein vernuentliges arbeiten War nicht drin.
(VPN läuft aber unter "verschlüsseln müssen"). Lag das am Routing, am Firewalling - oder am VPN?
Also wurden die DLinks (keine Ahnung was die genau gekostet hatten Schaetze mal ca 100 - 120 Euro) durch Bintec Ersetzt (400 Euro).
Bintec? Ist schon ne Weile her, oder? Gab wohl teils Probleme mit dem Support, hab ich gehört. Schade eigentlich, fand die immer schick. Früher hatten die Router auch noch richtige Namen (statt Nummern) :) Gut, preislich war da wohl ne null mehr dran, aber dafür schick und blau ^^
Und siehe da - Die aussendienstler beschwerten Sich weil Sie auf einemal im arbeitnehmer modus arbeiten Konnten ;-) Kein Ausfall mehr. Alles lief stabil und die Company safed money
Prima. (die englischsprachigen Einschübe kommen ohne Rechtschreibfehler bestimmt kEwLeR ;) SCNR)
Ein DLINK DFL-1600 kostet auf www.dlinkshop.com 7.000 Dollar, für viele Firmen ist das schon 'ne ziemlich Menge Geld für'n Router... Muss jetzt erlich gestehen das ich der meinung war DLINK ist nur billig. Aber erlich gesagt der sich einen DLink kauft ist selbstschuld. Markfuehrer Ist nun mal cicso und 3Com.
Na gut, aber die lassen sich den Namen ja auch ein bisschen vergolden und das kostet. Meiner Meinung nach war das für Linux vor ein paar Jahren auch eine prima Anwendung (um mal wieder aufs Thema zu kommen). Statt eines teuren Cisco Routers konnte man einen billigen PC nehmen. Oder einen älteren :) Haben damals etliche `ausrangierte' Maschinen als Router verwendet. Ich weiss es nicht, aber ich glaube, die würden heute noch laufen :)
Es muss ja nicht mit kanonen auf spatzen schiesen Sein (wobei das schon spass machen kann) aber ein schooner mittelklasse Router Von cisco oder 3Com (easy zu konfigurieren, ausfaelle habe ich bis jetzt noch nicht Erlebt) fuer approx 1000 Euro.
`easy' ist immer sehr relativ, oder? Wenn die Firewallregeln aus einer Datenbank kommen, aber man mehr oder weniger nur ein Webfrontend hat, um die automatisch aktualisieren zu lassen, kann es kniffelig werden. Das Problem hat man natürlich niemals wenn man alles von Cisco hat (sich leisten kann). Einfache Paketfilter vielleicht mal aussen vor. Ich finde, hier kann Linux prima punkten. Da kann man sich auch einen Proxy für `seine' Spezialanwendung bauen oder einen bestehenden anpassen. Sowas wird mit Cisco mindestens teuer, oder? Läuft auf so einer 1000 EUR Cisco überhaupt schon ein Proxy? (hätte gedacht, das Geld reicht gerade mal für'n intelligenten Switch).
Nu doch ein Router? :) Klar, habe nie das gegenteil behauptet ;-) Aber mal im ernst. Dazu muss man auch die genaue umgebung kennen damit hier ein Wirklich gutes statement abgegeben warden kann.
ja natürlich. Wie gesagt, wenn ein embedded Router reicht, würde ich vielleicht auch einen nehmen. Die Carrier verwenden ja auch teils `was billiges' als Abschluss. Natürlich kann man auch Pech haben. Ich würde auch nicht unbedingt ne Fritzbox USB oder sowas nehmen müssen wollen :)
Was kostet ein Hardware Router, der Firewallfunktionen hat, die über'n Paketfilter hinausgehen? Klar du kannst die dinger kaufen bis warscheinlich 20000 Euro
Ja, eben! Oder ne null weg und Linux drauf :-)
Na ja, oft sind die Windows-Server richtig fett, dann am besten noch doppelt und dediziert (2 x AD Ctrl + Exchange und Fileserver am besten noch extra), dass der eine Apache Linuxserver kaum noch auffällt :-) Das ist von den anforderungen abhaenging und davon mit was die company geld verdient. Wird viel mit internet gearbeitet kann ein ausfall von 3 stunden bei 50 mitarbieter Mal schnell richtig geld kosten. Das ist eine einfach rechnung.
Da könnte ich nicht ruhig schlafen... Wie gesagt, dann hätte ich (persönlich! ich weiss, viele sehen es anders) lieber was preiswertes aber dafür noch baugleiche, fertig konfigurierte Reservehardware zweifach im Schrank, als etwas, was ich mir gerade so leisten kann und was dann doch kaputtgehen kann. Hilft aber auch nix, wenn der Carrier ein Problem hat. Kommt auch jedes zweite Jahr vor :)
Ist Stromverbrauch eigentlich ein Thema? Oder geht es da nur um die Abwärme? Gut, ist im Endeffekt ja das gleiche... Beides. Warum meinst du warum viele Firmen zu VM's uebergehen.
Abwärme. Klimaanlage (und deren Strom :)) ist teurer als der Maschinenstromverbrauch. Ausserdem muss man irgendwo mit der Wärme hinkommen, das kann schwierig werden. Dann darf man vielleicht kein lautes Aggregat nehmen usw. Ich persönlich finde die Flexiblität (mit den daraus erwachenden Vorteilen) am wichtigsten. Hardware und Strom finde ich eher uninteressant. Kauft man heute beides per E-Mail, macht nicht so den Unterschied. Aber man kann es besser skalieren und vor allem auch einfachere (ortogonale) Systeme bauen. Weiss nicht, ob das gemacht wird, aber da gibt es jedenfalls Potential, finde ich. Da kann man spannende Sachen machen :) Ist schon ein interessantes Thema.
Aber zurueck zum eigentlichen tread: Wenn es billig sein soll, was es ja nur auf dem ersten blick ist, wuerde ich eine Linux kiste Mit ipcorp hinstellen. Dieser managed zuverlaessig und gut alles. Ich bin/war im homeuser bereich Sehr zufrieden mit der software.
Ja, ipcop (http://www.ipcop.org/) klingt nicht schlecht. Aber scheinbar benötigt es leider eine Festplatte und kann `komische Sachen' (aber sind ja meist AddOns). Gab da doch sowas in der Art auf CD, mir fällts nur nicht mehr ein.
Beherscht alles was du willst.
Nein :) aber ich bin ja nicht das Thema :)
PS: plz entschuldigt die Fehler. Ich arbeite mit einem Englischen Office und hier Wird mir jedes wort rot merkiert oder in falsche ausgebessert. Far away from Germany ;-)
Ahh, gerade im englischsprachigem Raum unterwegs und keine deutsche Sprache installiert, erklärt einiges. Also EDITOR nehmen, dann ist's nie rot :-) SCNR. hihi also: Merry Christmas whereever you are! oki, Steffen -- Dieses Schreiben wurde maschinell erstellt, es trägt daher weder Unterschrift noch Siegel. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, Sorry Steffen, ich habe beim Antworten leider falsch geklickt! Am Sonntag, 23. Dezember 2007 schrieb Steffen Dettmer:
* R. C. Graulich wrote on Sun, Dec 23, 2007 at 19:21 +0100:
Ich plane ein mittelgroßes Netz (50++ homogene Clients), derzeit allein mit w2k3-Server, um eine DMZ mit interner und externer Firewall zu erweitern.
wie dick ist der uplink?
Falsche Frage;-) es handelt sich um aDSL 6000. Mehr ist nicht drin.
Für die externe Firewall stehen mir alternativ ein einfacher Router (D-Link) und/oder ein älterer PC mit OSS-10.3 (Oss ist mir lediglich vertrauter als slackware/Debian) zur Verfügung. Der Router kann DynDNS und hat eine komfortabel konfigurierbare Firewall. Was würdet ihr vorziehen und warum?
Ist mit "Firewall" hier lediglich ein Paketfilter gemeint? Wird Masquerading verwendet? Wenn ja, könnte der D-Link Router ja eventuell tatsächlich reichen; portforwarding ähnliche Sonderregeln, die man für die DMZ braucht, müsste er natürlich unterstützen. Wenn er reicht, würde ich ihn nehmen, weil einfacher.
Masquerading steht noch nicht genau fest. Hängt vom Proxy ab, und davon, ob auch "fremde" Benutzer mit ihren Notebooks ohne Domainen Account in das Internet dürfen.
Für die Interne Firewall soll ein relativ schneller PC als Gateway, ebenfalls mit OSS 10.3 eingesetzt werden.
FÜr einen Paketfilter an einer nicht allzufetten Leitung (wenns um ein paar wenige MBit geht) braucht man vermutlich gar nicht unbedingt einen schnellen PC. Kommt aber auf vieles an. Könnte mir vorstellen, dass ein aktuelles Firewallscript schnell automatisch (mehr oder weniger ungewollt) Tausende von Regeln erzeugt. Wenn man mehrere MBit VPN mit starker Verschlüsselung machen möchte, sollte die Rechenleistung natürlich auch nicht zu knapp sein.
VPN wird bestenfalls von mir zur gelegentlichen Fernwartung des W2k3 Servers genutzt. Der gewollte Zugriff von außen ist ansonsten eher die Ausnahme. Eigentlich wird nur die Fernwartung (vpn/ssh) benötigt. Der Apache2 in der DMZ ist für eine noch zu schaffende Groupwarelösung angedacht und dient ansonsten kleinen Entwicklungsprojekten. Er könnte natürlich auch im LAN stehen, doch sollen hier die Schülern das Konzept einer DMZ kennenlernen.
Derzeit laufen darauf, wegen eines massiven Softwareupdates auf dem internen und temporär inaktiven w2k3-Servers, die Serverdienste:
Serverdienste, die wirklich wichtig sind, hab ich am liebsten auf virtuellen Maschinen, aber das muss man natürlich mit Performance oder mehr Hardware bezahlen. Virtuelle Maschinen kann man aber im Problemfall schnell mal auf andere Hardware schmeissen.
Nice to have;-)
Apache2, DNS und DHCP. DHCP soll dort deaktiviert werden, da dies auf dem w2k3-Server laufen soll.
Ist solch eine Häufung von Serverdiensten auf der internen Firewall sinnvoll?
na ja, ich würde das lieber vermeiden wollen. Dann lieber ne kleine alte Maschine zusätzlich, wenn möglich. Ich würde auf einer Firewallmaschine jedenfalls keine Useraccounts wollen, auch keine virtuellen. Ein Webserver für statische Seiten geht natürlich erstmal, aber wenn da auch noch persönliche Seiten (~/public_html) draufliegen sollen oder so, würde ich lieber eine extra-Maschine machen.
Oder sollte ich da eher zwei Rechner, einen für die Firewall und einen für die restlichen, ausschließlich intern genutzten Serverdienste, reservieren? Der zweite Rechner müßte ein älteres Modell bleiben.
Ich würde das ältere dann als Firewall verwenden. Meist meint man ja damit eher einfache Paketfilter. Dafür braucht man bei kleineren uplinks (wenige MBit) keine besonders grosse CPU. Wenn man verschlüsseln muss und/oder ein sehr komplexes Setup hat, würde ich natürlich unbedingt einen Performance-Test machen (die Scripte dann natürlich unbedingt aufheben).
Was sind eure Erfahrungen?
Je einfacher, desto besser die Chancen, dass etwas funktioniert. Keep it simple, stupid.
Ja, das sehe ich eigentlich auch so und wenn ich es auch nirgends so sehe ...
Das gilt auch für die Konfiguration. Wenige Dienste, einfache Regeln usw. Wird ja schnell unübersichtlich. Manchmal werden Sachen einfach, wenn man statt 2 auch mal 3 oder 4 Netzwerkkarten einbaut (da kann man die Zugriffsbereiche segmentieren, ohne intelligenten Switches programmieren zu müssen etc).
Das währe machbar und doch nicht nötig. Könnte mal erforderlich sein, wenn wirklich alle Schüler mit ihren eigenen Notebooks über das Schulnetz in das Internet wollten.
Als Paketfilter müsste ich auch gar nicht unbedingt SuSE nehmen wollen. Lieber was kleines. Da gibts ja etliche Projekte. Würde das Filesystem vielleicht sogar auf DVD brennen (man kann ja ne RW nehmen), schwieriger zu manipulieren, wenn gehackt, da gabs Projekte, hab leider gerade keinen Namen im Kopf. Vielleicht geht das auch mit http://leaf.sourceforge.net/ oder OpenWRT.
Da hatte ich auch schon drüber nachgedacht, falls es eine reine Firewall werden sollte.
Hat man mehrere einfache und von einander unabhängige Teile (z.B. Router/Firewalls/Server), kann man die oft einfacher administrieren. Man updated dann nur den Paketfilter usw. Sonst (all-in-one) hat man vielleicht das Problem, dass man den Paketfilter nicht aktualisieren kann, weil das neue PHP dann die Anwendung XYZ nicht mehr richtig ausführt (gut ist, wenn mans voher weiss, weil man es wirklich getestet hat :)). Daher finde ich die Idee mit den dedizierten (ggf. virtuellen) Servern gut. Wenn am Ende die Anwendung XYZ dann heute noch auf SuSE 8.2 laufen muss, störts ja kaum, wenn man der Firewall trauen kann, weil da alle patches (und möglichst wenig) drauf sind.
Das stimmt natürlich und wehe man übersieht dann den einen oder anderen Patch im alltäglichen Stress der Nichtigkeiten.
Wenn es um ein "normales Netz" geht, reicht das oft vermutlich schon. Für höheren Schutzbedarf muss man zusehen, dass keine Verbindung direkt nach aussen oder gar umgekehrt möglich ist. Ob die DMZ unter diese Regel fällt oder nicht und wie im Detail, muss man sehen. Intern müsste dann jedenfalls *alles* über einen entsprechenden Proxy.
Ein Proxy erscheint mir sehr wahrscheinlich. Derzeit teste ich gerade, ob der eine gewisse Performancesteigerung bringt. Ich erwarte das, weil die üblichste Nutzung so aussieht: 30 Clients starten dieselben Abfragen (Google, Wiki, etc.) nahezu gleichzeitig, weil alle Schüler in etwa die gleiche Aufgabe abarbeiten.
Ob man da Virenscan mit einbaut oder nicht, muss man sehen (das ständige geupdate ist zumindestens theoretisch eine ziemliche Sicherheitsgefahr).
Virenscannern traue ich per se nicht. Die zerschossen mir regelmäßig wichtige Systemkomponenten (winlogon.exe, winvnc.exe, etc.) und jeder traut den Dingern mehr als dem eigenen Verstand ...
Bei HTTP und Mail ist ein Proxy noch eher einfach (kommt natürlich sehr drauf an, wieviel funktionieren muss und was man verbieten möchte etc).
Da bin ich der Auffassung, dass Zensur nicht stattfinden sollte. Also per se ist alles erlaubt. Unsere Schüler sollen ja aufgeklärte Erwachsene werden und lernen, mit dem Internet sinnvoll umzugehen. Der Proxy macht nur als Cache Sinn, da die DSL-Leitung eher als dünn denn als dick zu bezeichnen ist.
Für Mail kann man einen kleinen Mailserver nehmen (was evtl. gegen zu kleine Linuxe wie OpenWRT sprechen könnte). Na ja, und dann muss man sehen, was für Protokolle man wie filtern können muss. Manchmal ist sowas wie SOCKS akzeptabel, manchmal nur für bestimmte Benutzer (wenn man sich den am Paketfilter anmelden kann, was mit Boardmitteln vermutlich erstmal nicht mehr) oder für bestimmte PC (also IPs, geht evtl. in einem einfachen Windows-Netz, da hat ja oft jeder "seinen" PC).
Mail ist kein so dringlicher Service. Aus (fernmelde-)rechtlichen Gründen wird es in absehbarer Zeit erstmal keine eigenen Mail-Dienste im LAN geben.
(die kurze Antwort ist also "hängt davon ab",
ja, die Antwort habe ich oft selbst parat. ;-) Dennoch ist so ein Brainstorming hilfreich, da man sich über seine eigenen Ziele mal selbst klarer werden kann. Wie gesagt, mit Kollegen kann ich Fragen zur IT-Struktur kaum erörtern.
aber das ist wohl wenig hilfreich :))
Im Gegenteil Danke! -- Mit freundlichen Grüßen R. C. Graulich -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
* R. C. Graulich wrote on Mon, Dec 24, 2007 at 12:53 +0100:
Am Sonntag, 23. Dezember 2007 schrieb Steffen Dettmer:
* R. C. Graulich wrote on Sun, Dec 23, 2007 at 19:21 +0100:
Ich plane ein mittelgroßes Netz (50++ homogene Clients), derzeit allein mit w2k3-Server, um eine DMZ mit interner und externer Firewall zu erweitern.
wie dick ist der uplink?
Falsche Frage;-) es handelt sich um aDSL 6000. Mehr ist nicht drin.
6Mbit sind doch prima! Früher gabs mal Modems ^^
Ist mit "Firewall" hier lediglich ein Paketfilter gemeint? Wird Masquerading verwendet? Wenn ja, könnte der D-Link Router ja eventuell tatsächlich reichen; portforwarding ähnliche Sonderregeln, die man für die DMZ braucht, müsste er natürlich unterstützen. Wenn er reicht, würde ich ihn nehmen, weil einfacher.
Masquerading steht noch nicht genau fest. Hängt vom Proxy ab, und davon, ob auch "fremde" Benutzer mit ihren Notebooks ohne Domainen Account in das Internet dürfen.
Das verstehe ich (insbesondere in dem Zusammenhang) nicht. Wenn Du ein "normales" DSL hast, hast Du Masquerading. Das erschwert schonmal viele Angriffe, z.B. auf die internen Server, weil die erstmal überhaupt nicht von aussen erreichbar sind. Ich würde das auch unbedingt so lassen. Wenn es eine Homepage sein muss, dann irgendwo extern lagern. Es gibt auch Leute/Projekte, die Schulen dabei helfen. Dann könnte man auf die DMZ (mit von aussen erreichbaren Diensten wie Webserver oder so) verzichten. Wenn Du keine DMZ (mit von aussen...) brauchst, spart das im Zweifelsfall Arbeit und Ärger, glaube ich, also wenn man keine DMZ (mit ...) braucht, sollte man auch keine haben. Die Notebooks per default dürfen dann vielleicht nur HTTP, HTTPS und FTP und sonst nichts. Direktes Routing abschalten/filtern. Intern darf nur auf HTTP-Proxy (squid oder sowas). Da vielleicht noch Anmeldung mit Datenschutzhinweis (also: man willigt ein, das alles und jedes geloggt und kontrolliert wird usw. Jede URL wird in Relation zum Benutzeraccount gespeichert etc pp) und ggf. nur whitelist URLs erlauben. Kenn die Schulbestimmungen nicht. Ich wäre jedenfalls sehr vorsichtig wegen nicht jugendfreier Internetangebote etc. Proxy mit Statistik (und Datenschutzhinweis und was man da braucht, am besten unterschreiben lassen). Statistik ist wichtig, in den Top100 Traffics an Unis findet man jedenfalls vieles, was nicht jugendfrei ist (diese kleinen Filmchen erzeugen auch schnell viel Datenverkehr). Auch wichtig, falls von der IP aus was gemeines in Foren geschrieben wird oder so. Daher würde ich persönliche Proxy-Anmeldung verlangen. Diese Fragen sind vermutlich viel wichtiger als die genaue Konfiguration der Paketfilter. Ein Standard-Router mit Masquerading /und sonst nichts/ ist schon ein prima Schutz. Viren etc. müssen gesondert oder AUCH via Proxy kontrolliert werden etc, aber das ist ja sicherlich eh Standard.
VPN wird bestenfalls von mir zur gelegentlichen Fernwartung des W2k3 Servers genutzt. Der gewollte Zugriff von außen ist ansonsten eher die Ausnahme. Eigentlich wird nur die Fernwartung (vpn/ssh) benötigt.
Na ja, wenn Du ein bestimmtes VPN /brauchst/, bist Du bei embedded Routern eventuell eingeschränkt. VPN ist natürlich ein weites Feld. Zur Performance würde ich bei 3DES (was ich vermutlich nehmen würde) gaaanz grob übern Daumen mit sagen wir 400 MHz pro MBit rechnen. Da man bei Fernwartung bestimmt mit weniger als ein MBit auskommt (das funktioniert ja sogar mit ISDN benutzbar), müsste der PC schon ganz schön alt sein, damit er nicht reicht. Wenn da ne 10.3 drauf läuft, schafft er das VPN bestimmt spielend (komisch ist's heute, was???).
Der Apache2 in der DMZ ist für eine noch zu schaffende Groupwarelösung angedacht und dient ansonsten kleinen Entwicklungsprojekten. Er könnte natürlich auch im LAN stehen, doch sollen hier die Schülern das Konzept einer DMZ kennenlernen.
Na ja, davon merkt man doch eh nichts, oder? Aber vielleicht kann ich mir den Lerneffekt auch nur nicht vorstellen. Sonst würde ich das jedenfalls unbedingt intern haben wollen. Groupware klingt nach wichtigen Daten und die sind die schützenswerten. Eine Workstation mit `Daten im Netzlaufwerk' kann man fix neuinstallieren, wenn ein Virus drauf ist, aber einen gehackten Groupwareserver vielleicht nicht so einfach (weil man z.B. nicht weiss, welche Dokumente verändert wurden). Ach so, die Kiste muss selbst natürlich sicher sein, also sorgfältig machen, weil hier sicherlich extrem Angriffe von innen zu erwarten sind (die man vermutlich mit einem Paketfilter [Firewall] nur schwer unterdrückt bekommt, da HTTP ja dann eh erlaubt werden muss). Für DMZ vielleicht ein Satz von vmwares oder sowas? Könnte mir vorstellen, wenn man z.B. 5 virtuelle Maschinen hat, dass man sich da prima ein Internet simulieren kann (einfach mehrere IPs und paar dummy webseiten), dann eine dreiteilige Firewall (Paketfilter, Proxies, Paketfilter) und ein Angriffshost. Clients sind intern ja da. VMware Server kostet ja nichts mehr. Andere Produkte kenne/benutze ich nicht, es gibt aber natürlich auch andere. Wäre das eine Idee? Ist ja auch sehr flexibel. Ich glaube, der VMware Server kann auch problemlos mehrere VMs gleichzeitig laufen lassen. Ich nutze VMware workstation (kostet), die kann das jedenfalls und sogar ohne GUI (da bleibt dann performance übrig :)). Eine VM hat aber so vielleicht maximal 50% der Performance (die sich die VMs natürlich teilen). Reine CPU geht ganz gut, da kriegt man fast alles in der VM (es sei denn, man hat mehrere, dann hat man wohl mehr als 10% Overhead zusätzlich). Disk und anderes I/O ist dafür langsam (hab mal ein RAID getestet, da kamen in der VM nur ca 30% an). Aber für sowas reicht das ja mehr als aus.
Je einfacher, desto besser die Chancen, dass etwas funktioniert. Keep it simple, stupid.
Ja, das sehe ich eigentlich auch so und wenn ich es auch nirgends so sehe ...
Ja, das ist eigentlich komisch, in der Tat. Aber MS hat die bunteren Prospekte (und da ist `unter der Haube' immer alles furchtbar kompliziert).
Das gilt auch für die Konfiguration. Wenige Dienste, einfache Regeln usw. Wird ja schnell unübersichtlich. Manchmal werden Sachen einfach, wenn man statt 2 auch mal 3 oder 4 Netzwerkkarten einbaut (da kann man die Zugriffsbereiche segmentieren, ohne intelligenten Switches programmieren zu müssen etc).
Das währe machbar und doch nicht nötig. Könnte mal erforderlich sein, wenn wirklich alle Schüler mit ihren eigenen Notebooks über das Schulnetz in das Internet wollten.
Ja, gutes Beispiel, aber die Wifi-Karte ist ja eh ein extra interface. Oder man nimmt eine Bridge (und hängt die an eigene Netzwerkkarte / eigenes wifi bridging LAN). Ich würde z.B. eine Bridge nehmen, so'n Standard-Teil wie man zu Hause verwendet, weil man die problemlos wechseln kann, wenn kaputt (hatte ich alles schon). Na ja, und wenn es mal einen Tag nicht geht, muss halt zu Hause gesaugt werden...
Servern gut. Wenn am Ende die Anwendung XYZ dann heute noch auf SuSE 8.2 laufen muss, störts ja kaum, wenn man der Firewall trauen kann, weil da alle patches (und möglichst wenig) drauf sind.
Das stimmt natürlich und wehe man übersieht dann den einen oder anderen Patch im alltäglichen Stress der Nichtigkeiten.
Ja, und Du brauchst eine Datenbank (welche Maschine hat welche Version / Software / Patchlevel). Was macht man, wenn es keine Patches mehr gibt und updaten aufwändig wird (wird es ja meistens) naja usw. Natürlich soll man immer alles patchen - aber sooo extrem gilt das für Workstations, nicht sooo sehr für in Stein gemeisselte Konfigurationen. (meine persönliche Meinung, zerreisst mich ruhig per PM :))
Wenn es um ein "normales Netz" geht, reicht das oft vermutlich schon. Für höheren Schutzbedarf muss man zusehen, dass keine Verbindung direkt nach aussen oder gar umgekehrt möglich ist. Ob die DMZ unter diese Regel fällt oder nicht und wie im Detail, muss man sehen. Intern müsste dann jedenfalls *alles* über einen entsprechenden Proxy.
Ein Proxy erscheint mir sehr wahrscheinlich. Derzeit teste ich gerade, ob der eine gewisse Performancesteigerung bringt. Ich erwarte das, weil die üblichste Nutzung so aussieht: 30 Clients starten dieselben Abfragen (Google, Wiki, etc.) nahezu gleichzeitig, weil alle Schüler in etwa die gleiche Aufgabe abarbeiten.
Ja, squid oder ähnliches hilft. Obwohl heute die ganze Werbebildchen per default erstmal wohl immer `uncachable' sind und jedes Mal neu geladen werden sollen (weger der Statistiken und Dynamik). Da kann man aber wohl gut was hinkonfigurieren, um das zu verbessern. Ich hab mal gehört, das Werbebanner einen nennenswerten Anteil am Traffic haben, habe aber keine Zahlen zur Hand. Muss man dann halt sehen. Für wikipedia.org ist ein cache bestimmt prima. Hier muss man natürlich im Prinzip zwischen `Proxy für Sicherheit' (Anmeldung, Filterung, Virenscan) und `Proxy für Performance und Kostenreduzierung' unterscheiden - auch wenn nachher beides mit einem squid auf der Firewallmaschine gelöst wird.
Ob man da Virenscan mit einbaut oder nicht, muss man sehen (das ständige geupdate ist zumindestens theoretisch eine ziemliche Sicherheitsgefahr).
Virenscannern traue ich per se nicht. Die zerschossen mir regelmäßig wichtige Systemkomponenten (winlogon.exe, winvnc.exe, etc.) und jeder traut den Dingern mehr als dem eigenen Verstand ...
Wenn die unter Linux z.B. im squid oder Mails scannen, macht ein kaputtes winlogon.exe nichts, weil gar nicht da :) Aber irgendwas macht man doch immer auf die Win-Workstations drauf, oder? Na ja, keine Ahnung. Ich würde jedenfalls was installieren und beten. Ja, auch mich nervt der Kram sehr (auch wenn ich andere Probleme damit hatte).
Bei HTTP und Mail ist ein Proxy noch eher einfach (kommt natürlich sehr drauf an, wieviel funktionieren muss und was man verbieten möchte etc).
Da bin ich der Auffassung, dass Zensur nicht stattfinden sollte.
Jugendschutz ist keine Zensur. Überhaupt passt meiner Meinung nach Inhaltsauswahl ohne Wissens/Informationsbeschränkung im Rahmen einer Ausbildung/Erziehung überhaupt nicht zu "Zensur". Die Schüler können ja jede legale Information bekommen, beispielsweise, in dem sie einen Lehrer fragen. Notfalls muss dieser entscheiden, ob zum Beispiel die Bilder, die eine Kampagne gegen Frauenverstümmelung gemacht hat, um Europäern die fast unglaubliche Grausamkeit in Form von blutigen Bildern anschaulich zu machen, für die fragenden Schüler akzeptabel sind. Dabei kann er die /Information/ ja geben (beispielsweise das Bild verbal beschreiben). Die Information wird damit also nicht zensiert, finde ich (bin ja aber totale Laie).
Also per se ist alles erlaubt. Unsere Schüler sollen ja aufgeklärte Erwachsene werden und lernen, mit dem Internet sinnvoll umzugehen.
Meiner Meinung nach funktioniert das nicht. Meiner Meinung nach sieht man das gut am Fernsehen. Gerade kleine Kinder werden von der Werbung beeinflusst (man muss sich mal mit Spielzeug-Verkäuferinnen unterhalten). Meines Verständnisses nach ist `Schülern ist alles erlaubt' vermutlich rechtswidrig, da es im Internet definitiv nicht jugendfreie, jugendgefährdende und sogar verfassungswidrige Inhalte gibt. Natürlich ist es kein Geheimnis, dass es sowas gibt, klar. Auch die Aussagen an sich wohl kaum. Dennoch sollte eine Schule nicht ermöglichen, in verfassungsfeindlichen Foren Parolen auszutauschen oder überhaupt Kontakte zu knüpfen, finde ich. Natürlich ist es im Einzelfall schwer, eine Grenze zu ziehen. Daher vielleicht eine whitelist. Schüler dürfen ihren Lehrer nach allem fragen etc, er (mit seinem Proxylogin) darf alles laden. Dann surft man `zusammen'. Ich weiss nicht, ob der Aufwand tragbar ist, aber ich würde erwarten, dass das kaum jemand nutzt (weil ja zu Hause vermutlich viele Internet haben). Jedenfalls ist alles legale damit zugänglich, aber natürlich zweckgebunden für die Ausbildung. Das sollte auch schonmal die sinnlosen Massendownloads von Anatomie-Bildsammlungen einschränken... Vermutlich hilft schon, wenn man die Leute ein, zweimal darauf anspricht (sie wissen bestimmt, dass sie es nicht sollen, und wenn sie `erwischt' werden, lassen sie es vielleicht). Aber ich steh hier auf dünnem Eis, weil ich von alldem (Recht aber auch Lehre) gar keine Ahnung hab (aber erstmal mitreden, jaja, ich weiss ;)).
Der Proxy macht nur als Cache Sinn, da die DSL-Leitung eher als dünn denn als dick zu bezeichnen ist.
ich find sie dick, für eine Schule; mein erstes Modem hatte 14kbit, die es nie erreichte ;) 6 MBit... Für alles ausser `multi-media' ist das hoffentlich mehr als ausreichend.
Mail ist kein so dringlicher Service. Aus (fernmelde-)rechtlichen Gründen wird es in absehbarer Zeit erstmal keine eigenen Mail-Dienste im LAN geben.
das ist gut. Dann braucht man keinen POP/IMAP/SMTP Proxy, sondern blockt das einfach alles komplett. E-Mail geht dann ja immer noch über Webfrontends.
(die kurze Antwort ist also "hängt davon ab",
ja, die Antwort habe ich oft selbst parat. ;-) Dennoch ist so ein Brainstorming hilfreich, da man sich über seine eigenen Ziele mal selbst klarer werden kann. Wie gesagt, mit Kollegen kann ich Fragen zur IT-Struktur kaum erörtern.
Vielleicht gibt es fachspezifischere Informationen oder Hilfe bei entsprechenden Projekten (http://www.schulen-ans-netz.de/ oder bei den Pingos, falls es die noch gibt). ach mistmist Zeit verpasst muss jetzt aber los. Frohe Weihnachten. oki, Steffen -- Dieses Schreiben wurde maschinell erstellt, es trägt daher weder Unterschrift noch Siegel. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo und friedliche Weihnachten! Am Dienstag, 25. Dezember 2007 schrieb Steffen Dettmer:
* R. C. Graulich wrote on Mon, Dec 24, 2007 at 12:53 +0100:
Am Sonntag, 23. Dezember 2007 schrieb Steffen Dettmer:
* R. C. Graulich wrote on Sun, Dec 23, 2007 at 19:21 +0100:
Ich plane ein mittelgroßes Netz (50++ homogene Clients), derzeit allein mit w2k3-Server, um eine DMZ mit interner und externer Firewall zu erweitern.
wie dick ist der uplink?
Falsche Frage;-) es handelt sich um aDSL 6000. Mehr ist nicht drin.
6Mbit sind doch prima! Früher gabs mal Modems ^^
ja, ich bin früher auch morgens zum Bäcker *gelaufen*. ;-)
Ist mit "Firewall" hier lediglich ein Paketfilter gemeint? Wird Masquerading verwendet? Wenn ja, könnte der D-Link Router ja eventuell tatsächlich reichen; portforwarding ähnliche Sonderregeln, die man für die DMZ braucht, müsste er natürlich unterstützen. Wenn er reicht, würde ich ihn nehmen, weil einfacher.
Masquerading steht noch nicht genau fest. Hängt vom Proxy ab, und davon, ob auch "fremde" Benutzer mit ihren Notebooks ohne Domainen Account in das Internet dürfen.
Das verstehe ich (insbesondere in dem Zusammenhang) nicht. Wenn Du ein "normales" DSL hast, hast Du Masquerading. Das erschwert schonmal viele Angriffe, z.B. auf die internen Server, weil die erstmal überhaupt nicht von aussen erreichbar sind. Ich würde das auch unbedingt so lassen.
dacore! So auch meine bisherige Entscheidung. Doch: Von anderer Seite wurde mir Folgendes geschrieben und ich zitiere hier mal:
"Die (Anmerkung: p2p-netze) sollten hinter Arktur gar nicht laufen! Verbindungen ins Internet gehen nur über Squid. Wenn doch P2P läuft, dann hast für das ganze Netz Masquerading auf, das hast du dann aber ganz bewußt freigeschaltet. Oder deine Netzkonfiguration ist schlecht, so dass die Clients das I-Net ohne Arktur erreichen können." Bei dieser Antwort ging es um die Frage, wie man die p2p-Netze beschränken kann ("Arktur" ist der Name eines Linux-Servers des "Schulen-ans-Netz" Projektes).
Ich habe das Masquerading testweise mal abgeschaltet und dann kann tatsächlich keiner mehr am Proxy (squid) vorbei in das Internet (Proxy im Browser aus- oder eingetragen). Warum muss das gerade am Masquerading hängen? Eigentlich hat für mich das Masquerading Vorrang. Warum sollte ich LAN-interne Strukturen über den/die Proxy/InterneFirewall hinaus preisgeben?
Wenn es eine Homepage sein muss, dann irgendwo extern lagern. Es gibt auch Leute/Projekte, die Schulen dabei helfen.
Die HP der Schule liegt an anderer Stelle im i-Netz.
Dann könnte man auf die DMZ (mit von aussen erreichbaren Diensten wie Webserver oder so) verzichten. Wenn Du keine DMZ (mit von aussen...) brauchst, spart das im Zweifelsfall Arbeit und Ärger, glaube ich, also wenn man keine DMZ (mit ...) braucht, sollte man auch keine haben.
Doch für den Informatik-Unterricht mit Zugriff auf MySQL, Apache, Tomcat, Servlets, etc. macht es Sinn, den Schülern auch zu zeigen, wie es organisatorisch vernünftig umgesetzt werden kann.
Die Notebooks per default dürfen dann vielleicht nur HTTP, HTTPS und FTP und sonst nichts. Direktes Routing abschalten/filtern. Intern darf nur auf HTTP-Proxy (squid oder sowas).
Da vielleicht noch Anmeldung mit Datenschutzhinweis (also: man willigt ein, das alles und jedes geloggt und kontrolliert wird usw.
Dafür nutzen wir den w2k3-Server, der mit einer entsprechenden Lösung des Bundeslandes versehen ist. (Pädagogische Tools,...)
Jede URL wird in Relation zum Benutzeraccount gespeichert etc pp) und ggf. nur whitelist URLs erlauben.
Das wird vielerorts so gemacht, ja, so zu tun, als wäre das Netz sauber ... - Besser erscheint es mir, den relativ erwachsenen Schülern einen verantwortungsvollen selbstbestimmten Umgang mit diesem Medium zu vermitteln.
Kenn die Schulbestimmungen nicht. Ich wäre jedenfalls sehr vorsichtig wegen nicht jugendfreier Internetangebote etc. Proxy mit Statistik (und Datenschutzhinweis und was man da braucht, am besten unterschreiben lassen). Statistik ist wichtig, in den Top100 Traffics an Unis findet man jedenfalls vieles, was nicht jugendfrei ist (diese kleinen Filmchen erzeugen auch schnell viel Datenverkehr). Auch wichtig, falls von der IP aus was gemeines in Foren geschrieben wird oder so. Daher würde ich persönliche Proxy-Anmeldung verlangen.
Wie gesagt, das ist soweit alles vernüftig geregelt (Aufsicht, Datenschutzfreistellungen, Nutzungsbedingungen, etc...).
Diese Fragen sind vermutlich viel wichtiger als die genaue Konfiguration der Paketfilter. Ein Standard-Router mit Masquerading /und sonst nichts/ ist schon ein prima Schutz. Viren etc. müssen gesondert oder AUCH via Proxy kontrolliert werden etc, aber das ist ja sicherlich eh Standard.
Ja
VPN wird bestenfalls von mir zur gelegentlichen Fernwartung des W2k3 Servers genutzt. Der gewollte Zugriff von außen ist ansonsten eher die Ausnahme. Eigentlich wird nur die Fernwartung (vpn/ssh) benötigt.
Na ja, wenn Du ein bestimmtes VPN /brauchst/, bist Du bei embedded Routern eventuell eingeschränkt.
Das ist mir klar, danke nochmal für den Hinweis. Unser D-Linkrouter berherrscht VPN - jedenfalls konnte ich damit in der Vergangenheit den Win-Server ganz gut administrieren. Probleme gab es da, wenn dann clientseitig.
VPN ist natürlich ein weites Feld. *Daher* ziehe ich openSSH eigentlich vor.
Zur Performance würde ich bei 3DES (was ich vermutlich nehmen würde) gaaanz grob übern Daumen mit sagen wir 400 MHz pro MBit rechnen. Da man bei Fernwartung bestimmt mit weniger als ein MBit auskommt (das funktioniert ja sogar mit ISDN benutzbar), müsste der PC schon ganz schön alt sein, damit er nicht reicht. Wenn da ne 10.3 drauf läuft, schafft er das VPN bestimmt spielend (komisch ist's heute, was???).
Ja, das stimmt. Ich bin u.a. unter Compuserve mit 300bd Modem aufgewachsen ... Das hat auch Spass gemacht
Der Apache2 in der DMZ ist für eine noch zu schaffende Groupwarelösung angedacht und dient ansonsten kleinen Entwicklungsprojekten. Er könnte natürlich auch im LAN stehen, doch sollen hier die Schülern das Konzept einer DMZ kennenlernen.
Na ja, davon merkt man doch eh nichts, oder? Aber vielleicht kann ich mir den Lerneffekt auch nur nicht vorstellen. Sonst würde ich das jedenfalls unbedingt intern haben wollen. Groupware klingt nach wichtigen Daten und die sind die schützenswerten.
Ja, dennoch wird das genau so ein Thema werden. Also versuche ich es gleich konzeptionell so anzupacken, dass es dann relativ sicher laufen kann. Wie sonst sollte man bspw. der Forderung, zukünftig auf die Bibliotheks-DB von *überall* zugreifen zu können, gerecht werden? Das ist ein öffentlicher Dienst und gehört eigentlich in die DMZ. Die Groupware wird definitiv keine Verwaltungsdaten oder ähnliches bereitstellen und sich eher um Daten, wie Termine der Ferien, Feste, Vertretungsregelungen, usw., oder Reservierungen von Medien und Räumen kümmern müssen; quasi das schwarze Brett online. Das sind Daten, auf die im Angriffsfall verzichtet werden könnte, da sie lediglich der *unverbindlichen* Information dienen und verbindlich an anderer sicherer Stelle vorgehalten werden (Verwaltungsrechner, Schwarzes Brett, ...).
Eine Workstation mit `Daten im Netzlaufwerk' kann man fix neuinstallieren, wenn ein Virus drauf ist, aber einen gehackten Groupwareserver vielleicht nicht so einfach (weil man z.B. nicht weiss, welche Dokumente verändert wurden).
Ja. Ich hatte an anderer Stelle im Sommer das zweifelhafte Vergügen, einen Angriff auf einen Rootserver hinnehmen zu müssen.
Ach so, die Kiste muss selbst natürlich sicher sein, also sorgfältig machen, weil hier sicherlich extrem Angriffe von innen zu erwarten sind (die man vermutlich mit einem Paketfilter [Firewall] nur schwer unterdrückt bekommt, da HTTP ja dann eh erlaubt werden muss).
Kiste? In der DMZ würde ich nicht mehr zwischen drinnen und drausen unterscheiden wollen. *Alle* sind dann potentiell *böse* ;-)
Für DMZ vielleicht ein Satz von vmwares oder sowas? Könnte mir vorstellen, wenn man z.B. 5 virtuelle Maschinen hat, dass man sich da prima ein Internet simulieren kann (einfach mehrere IPs und paar dummy webseiten), dann eine dreiteilige Firewall (Paketfilter, Proxies, Paketfilter) und ein Angriffshost. Clients sind intern ja da. VMware Server kostet ja nichts mehr. Andere Produkte kenne/benutze ich nicht, es gibt aber natürlich auch andere.
Mir ist nicht klar, was genau du da meinst.
Wäre das eine Idee? Ist ja auch sehr flexibel. Ich glaube, der VMware Server kann auch problemlos mehrere VMs gleichzeitig laufen lassen. Ich nutze VMware workstation (kostet), die kann das jedenfalls und sogar ohne GUI (da bleibt dann performance übrig :)). Eine VM hat aber so vielleicht maximal 50% der Performance (die sich die VMs natürlich teilen). Reine CPU geht ganz gut, da kriegt man fast alles in der VM (es sei denn, man hat mehrere, dann hat man wohl mehr als 10% Overhead zusätzlich). Disk und anderes I/O ist dafür langsam (hab mal ein RAID getestet, da kamen in der VM nur ca 30% an). Aber für sowas reicht das ja mehr als aus.
dito, siehe letzter Abschnitt...
Je einfacher, desto besser die Chancen, dass etwas funktioniert. Keep it simple, stupid.
Ja, das sehe ich eigentlich auch so und wenn ich es auch nirgends so sehe ...
Ja, das ist eigentlich komisch, in der Tat. Aber MS hat die bunteren Prospekte (und da ist `unter der Haube' immer alles furchtbar kompliziert).
Ja, ich habe bspw. mal die MFC in der Tiefe kennen lernen *dürfen*, *schütteltsichgradalswärenlautermonsterimzimmer*. Immerhin, *duckundganzschnellwegrenn* ist manches in der probrietären Welt scheinbar besser geworden. Als ein Beispiel, auf das ich kaum noch verzichten möchte, sei auf die Softwareverteilung im AD verwiesen. Mehr würde mir jetzt aber auch nicht einfallen - Bitte: Friedliche Weihnachten! ;-)
Das gilt auch für die Konfiguration. Wenige Dienste, einfache Regeln usw. Wird ja schnell unübersichtlich. Manchmal werden Sachen einfach, wenn man statt 2 auch mal 3 oder 4 Netzwerkkarten einbaut (da kann man die Zugriffsbereiche segmentieren, ohne intelligenten Switches programmieren zu müssen etc).
Das währe machbar und doch nicht nötig. Könnte mal erforderlich sein, wenn wirklich alle Schüler mit ihren eigenen Notebooks über das Schulnetz in das Internet wollten.
Ja, gutes Beispiel, aber die Wifi-Karte ist ja eh ein extra interface. Oder man nimmt eine Bridge (und hängt die an eigene Netzwerkkarte / eigenes wifi bridging LAN). Ich würde z.B. eine Bridge nehmen, so'n Standard-Teil wie man zu Hause verwendet, weil man die problemlos wechseln kann, wenn kaputt (hatte ich alles schon).
In bestimmten Räumen sind an allen Schülertischen LAN-Steckdosen. Leider ist das nicht weiter segmentiert, so dass ich nur mittels DHCP regeln kann, wer wie verbunden wird. Da ich das sowohl unter w2k als auch oss machen konnte, läge mir viel daran, dem w2k3-Server die DHCP-Serverautorität auf Dauer zu rauben. WLan (=Wifi?) ist wenn, dann nur inerhalb der DMZ erlaubt. So die Idee - Ich lass mich da gern noch korrigieren, doch erscheint mir ein WLan konzeptionell zu unsicher. Apriori möchte ich den LAN-Teilnehmern da ein vergleichsweise höheres Vertrauen schenken.
Na ja, und wenn es mal einen Tag nicht geht, muss halt zu Hause gesaugt werden...
hehe ;-) Hier macht es auch Sinn, den Schülern klar zu machen, was sie sich im Zweifel aufgrund der potentiellen Strafbarkeit alles verbauen könnten. Da wissen die oft mehr als ich :-)
Servern gut. Wenn am Ende die Anwendung XYZ dann heute noch auf SuSE 8.2 laufen muss, störts ja kaum, wenn man der Firewall trauen kann, weil da alle patches (und möglichst wenig) drauf sind.
Das stimmt natürlich und wehe man übersieht dann den einen oder anderen Patch im alltäglichen Stress der Nichtigkeiten.
Ja, und Du brauchst eine Datenbank (welche Maschine hat welche Version / Software / Patchlevel). Was macht man, wenn es keine Patches mehr gibt und updaten aufwändig wird (wird es ja meistens) naja usw. Natürlich soll man immer alles patchen - aber sooo extrem gilt das für Workstations, nicht sooo sehr für in Stein gemeisselte Konfigurationen. (meine persönliche Meinung, zerreisst mich ruhig per PM :))
Wenn es um ein "normales Netz" geht, reicht das oft vermutlich schon. Für höheren Schutzbedarf muss man zusehen, dass keine Verbindung direkt nach aussen oder gar umgekehrt möglich ist. Ob die DMZ unter diese Regel fällt oder nicht und wie im Detail, muss man sehen. Intern müsste dann jedenfalls *alles* über einen entsprechenden Proxy.
Ein Proxy erscheint mir sehr wahrscheinlich. Derzeit teste ich gerade, ob der eine gewisse Performancesteigerung bringt. Ich erwarte das, weil die üblichste Nutzung so aussieht: 30 Clients starten dieselben Abfragen (Google, Wiki, etc.) nahezu gleichzeitig, weil alle Schüler in etwa die gleiche Aufgabe abarbeiten.
Ja, squid oder ähnliches hilft. Obwohl heute die ganze Werbebildchen per default erstmal wohl immer `uncachable' sind und jedes Mal neu geladen werden sollen (weger der Statistiken und Dynamik). Da kann man aber wohl gut was hinkonfigurieren, um das zu verbessern. Ich hab mal gehört, das Werbebanner einen nennenswerten Anteil am Traffic haben, habe aber keine Zahlen zur Hand. Muss man dann halt sehen. Für wikipedia.org ist ein cache bestimmt prima.
dacore - Das wird ein Kampf gegen Windmühlen bleiben...
Hier muss man natürlich im Prinzip zwischen `Proxy für Sicherheit' (Anmeldung, Filterung, Virenscan) und `Proxy für Performance und Kostenreduzierung' unterscheiden - auch wenn nachher beides mit einem squid auf der Firewallmaschine gelöst wird.
Squid soll zunächst die Performance verbessern.
Ob man da Virenscan mit einbaut oder nicht, muss man sehen (das ständige geupdate ist zumindestens theoretisch eine ziemliche Sicherheitsgefahr).
Virenscannern traue ich per se nicht. Die zerschossen mir regelmäßig wichtige Systemkomponenten (winlogon.exe, winvnc.exe, etc.) und jeder traut den Dingern mehr als dem eigenen Verstand ...
Wenn die unter Linux z.B. im squid oder Mails scannen, macht ein kaputtes winlogon.exe nichts, weil gar nicht da :)
Aber irgendwas macht man doch immer auf die Win-Workstations drauf, oder? Na ja, keine Ahnung. Ich würde jedenfalls was installieren und beten. Ja, auch mich nervt der Kram sehr (auch wenn ich andere Probleme damit hatte).
Ja, und ich möchte nicht wissen, wieviel Leistung wir alle dafür hergeben müssen. 30%? Wenn man das mal in Watt hochrechnen würde ... Immerhin sind die Schüler-PCs relativ gut geschützt, ein reboot und alles ist erst mal wieder im Lot. - so jedenfalls das tägliche *Credo*
Bei HTTP und Mail ist ein Proxy noch eher einfach (kommt natürlich sehr drauf an, wieviel funktionieren muss und was man verbieten möchte etc).
Da bin ich der Auffassung, dass Zensur nicht stattfinden sollte.
Jugendschutz ist keine Zensur. Überhaupt passt meiner Meinung nach Inhaltsauswahl ohne Wissens/Informationsbeschränkung im Rahmen einer Ausbildung/Erziehung überhaupt nicht zu "Zensur". [...]
Jugendschutz ist ja gesetzlich geregelt, hier geht es um junge Erwachsene.
Also per se ist alles erlaubt. Unsere Schüler sollen ja aufgeklärte Erwachsene werden und lernen, mit dem Internet sinnvoll umzugehen.
Meiner Meinung nach funktioniert das nicht. Meiner Meinung nach sieht man das gut am Fernsehen.
Das verstehe ich genau so und glaube auch, dass man *beides* *aktiv* begleiten muss.
Gerade kleine Kinder [...]
Großes Dacore! Ich halte persönlich auch überhaupt nichts davon, PCs als Spielzeug in das Kinderzimmer zu bringen. Autofahren darf man ja auch erst ab 16, doch ist mir die Realität in den Kinderzimmern durchaus bekannt.
Natürlich ist es kein Geheimnis, dass es sowas gibt, klar. [...]. Natürlich ist es im Einzelfall schwer, eine Grenze zu ziehen.
und es hängt sehr stark von der Altersstruktur der Schüler ab.
[...] Ich weiss nicht, ob der Aufwand tragbar ist, aber ich würde erwarten, dass das kaum jemand nutzt [...]
Ich konnte beobachten, dass Sperren nur als sportliche Herausforderungen angesehen und schneller umgangen werden, als man sich es vorstellen kann ...
Der Proxy macht nur als Cache Sinn, da die DSL-Leitung eher als dünn denn als dick zu bezeichnen ist.
ich find sie dick, für eine Schule; mein erstes Modem hatte 14kbit, die es nie erreichte ;) 6 MBit... Für alles ausser `multi-media' ist das hoffentlich mehr als ausreichend.
Leider ist es immer genau das, was Schüler sich so nebenbei gerne ansehen ...
Mail ist kein so dringlicher Service. Aus (fernmelde-)rechtlichen Gründen wird es in absehbarer Zeit erstmal keine eigenen Mail-Dienste im LAN geben.
das ist gut. Dann braucht man keinen POP/IMAP/SMTP Proxy, sondern blockt das einfach alles komplett. E-Mail geht dann ja immer noch über Webfrontends.
Genau
(die kurze Antwort ist also "hängt davon ab",
ja, die Antwort habe ich oft selbst parat. ;-) Dennoch ist so ein Brainstorming hilfreich, da man sich über seine eigenen Ziele mal selbst klarer werden kann. Wie gesagt, mit Kollegen kann ich Fragen zur IT-Struktur kaum erörtern.
Vielleicht gibt es fachspezifischere Informationen oder Hilfe bei entsprechenden Projekten (http://www.schulen-ans-netz.de/ oder bei den Pingos, falls es die noch gibt).
Ja, es gibt Sammlungen bei: http://www.linux-schulserver.de oder OSS spezifisch: http://de.opensuse.org/Bildungswesen - Doch ist ein heterogener Mix aus serverseitigem Windows und Linux dort eher selten vertreten. Jedenfalls wird da kaum eine DMZ eingerichtet ;-) -- Mit freundlichen Grüßen R. C. Graulich -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
* R. C. Graulich wrote on Tue, Dec 25, 2007 at 14:14 +0100:
Am Dienstag, 25. Dezember 2007 schrieb Steffen Dettmer:
6Mbit sind doch prima! Früher gabs mal Modems ^^
ja, ich bin früher auch morgens zum Bäcker *gelaufen*. ;-)
und die Brötchen waren trozdem nicht schlechter, oder? ;)
dacore! So auch meine bisherige Entscheidung. Doch: Von anderer Seite wurde mir Folgendes geschrieben und ich zitiere hier mal:
"Die (Anmerkung: p2p-netze) sollten hinter Arktur gar nicht laufen! Verbindungen ins Internet gehen nur über Squid. Wenn doch P2P läuft, dann hast für das ganze Netz Masquerading auf, das hast du dann aber ganz bewußt freigeschaltet. Oder deine Netzkonfiguration ist schlecht, so dass die Clients das I-Net ohne Arktur erreichen können."
Bei dieser Antwort ging es um die Frage, wie man die p2p-Netze beschränken kann ("Arktur" ist der Name eines Linux-Servers des "Schulen-ans-Netz" Projektes).
Ich habe das Masquerading testweise mal abgeschaltet und dann kann tatsächlich keiner mehr am Proxy (squid) vorbei in das Internet (Proxy im Browser aus- oder eingetragen).
Wenn man Masquerading technisch `brauchen würde', aber nicht aktiviert, ist das sozusagen `impliziet geblockt'.
Warum muss das gerade am Masquerading hängen? Eigentlich hat für mich das Masquerading Vorrang. Warum sollte ich LAN-interne Strukturen über den/die Proxy/InterneFirewall hinaus preisgeben?
Masquerading bräuchtest Du technisch, weil Du im LAN keine registrierten IPs verwenden kannst (weil Du keine hast), sondern was privates / unroutbares (192.168/16 oder sowas) verwenden musst. Diese Addressen sind vom Internet herraus natürlich nicht erreichbar (wie auch, ich hab ja die gleichen), also werden sie umgesetzt (maskiert), dann geht es doch (wenn auch mit Einschränkungen). (es folgt meine Meinung:) Das Verstecken der LAN-Strukturen via NAT (wie z.B. Masquerading) hat man früher als Sicherheitsfunktion gesehen, heute steht aber meist im Mittelpunkt, dass man über Zugänge mit einer dynamischen IP ins Internet kommt. Die Sicherheitsfunktion fällt dabei natürlich trozdem mit ab, so dass man dadurch schon sinnvolle Sicherheit `automatisch' bekommt. Der darüber hinausgehende Kram für Netzwerke wäre kompliziert, merkt man hinter Masquerading aber nicht weiter, daher kann man sich da was konfigurieren oder auch gar nichts: es wird eh nichts geroutet (geht ja technisch nicht), dem letzten Provider oder Carrierrouter vertraut man (i.d.R) und daher sind zusätzliche Blockregeln im Prinzip mehr oder weniger egal. Das bezieht sich alles nur auf Paketfilter, eine kleine spezielle Teilfunktion von Firewalls. Dazu gibts sicherlich viele Infos im Internet. Wenn man nur noch über einen HTTP Proxy rauskommt, gehen Dienste, die nicht über HTTP laufen können, nicht mehr. P2P geht vermutlich nicht mehr. Allerdings kann man technisch natürlich doch wieder alles über HTTP tunneln. Sowas zu blocken ist schwieriger. Hierzu dient ja eine Firewall. Sie soll z.B. p2p blocken, selbst wenn man es über HTTP fährt. Das ist im Einzelfall schwierig und geht nur unter mehr oder weniger starken Einschränkungen der Funktionalität. Na ja, komplexes Thema. Gegen Schüler, die richtig was drauf haben, kommt sowas vermutlich eh nicht gegen an, wenn diese eigene Geräte verwenden dürfen (eigene Laptops). Notfalls wird der traffic halt in PING payloads, anderen ICMPs oder eben HTTP, falls das erlaubt ist, oder sonstwas getunnelt. Irgendwas lässt die Firewall bestimmt durch, man muss nur lange genug suchen :)
Wenn es eine Homepage sein muss, dann irgendwo extern lagern. Es gibt auch Leute/Projekte, die Schulen dabei helfen.
Die HP der Schule liegt an anderer Stelle im i-Netz.
Dann könnte man auf die DMZ (mit von aussen erreichbaren Diensten wie Webserver oder so) verzichten. Wenn Du keine DMZ (mit von aussen...) brauchst, spart das im Zweifelsfall Arbeit und Ärger, glaube ich, also wenn man keine DMZ (mit ...) braucht, sollte man auch keine haben.
Doch für den Informatik-Unterricht mit Zugriff auf MySQL, Apache, Tomcat, Servlets, etc. macht es Sinn, den Schülern auch zu zeigen, wie es organisatorisch vernünftig umgesetzt werden kann.
Ja, aber doch nur intern, oder? Sicherheit ist `langweilig', man verbietet halt erstmal alles, was nicht unbedingt erlaubt ist. Lehrsysteme, wie PostgreSQL, Apache, Perl CGI Scripts (mySQL ist wohl nicht so gut für die Lehre?) oder so sind bestimmt immer unsicher, weil der Lernende ja kein erfahrener Sicherheitsentwickler ist, und selbst die machen genug Fehler. Auf die Aufgaben und ersten Gehversuche von Schülern sollte man meiner Meinung nach keinen aus dem Internet drauflassen.
Die Notebooks per default dürfen dann vielleicht nur HTTP, HTTPS und FTP und sonst nichts. Direktes Routing abschalten/filtern. Intern darf nur auf HTTP-Proxy (squid oder sowas).
Da vielleicht noch Anmeldung mit Datenschutzhinweis (also: man willigt ein, das alles und jedes geloggt und kontrolliert wird usw.
Dafür nutzen wir den w2k3-Server, der mit einer entsprechenden Lösung des Bundeslandes versehen ist. (Pädagogische Tools,...)
Ein Notebook kann das ja ignorieren und einfach Seiten aus dem Internet laden, ohne der w2k3-Server (was auch immer das ist) überhaupt zu nutzen - oder? Wenn der w2k3-Server als Proxy genutzt werden muss, dann muss die Firewall natürlich /jeden anderen/ HTTP Verkehr zum/vom Internet blockieren und darf nur diese eine Maschine erlauben (das geht vermutlich recht einfach mit einem Paketfilter, wenn das reicht).
Jede URL wird in Relation zum Benutzeraccount gespeichert etc pp) und ggf. nur whitelist URLs erlauben.
Das wird vielerorts so gemacht, ja, so zu tun, als wäre das Netz sauber ... - Besser erscheint es mir, den relativ erwachsenen Schülern einen verantwortungsvollen selbstbestimmten Umgang mit diesem Medium zu vermitteln.
Es geht nicht darum, ob das Netz sauber ist (ist es nicht, es verletzt an einigen Stellen sicherlich jegliche Moral und Ethik, weil es im Prinzip `alles' gibt) sondern darum, ob man es gestattet, solche Inhalte zu nutzen (von Steuergeldern bezahlte downloads von rechtswidrigen Inhalten) oder ob man die zur Lehre /notwendigen/ Informationen und Techniken verfügbar macht. Dazu braucht man kein Internet, man könnte es simulieren, aber das ist aufwändig. Es geht ja gar nicht darum, den Schülern beizubringen, wo man verfassungsfeindliche Symbole downloaden kann. Das sollen die mal schön zu Hause machen. (In Deutschland haben wir Vorratsdatenspeicherung, in Internetcaffes muss man sich mit Personalausweis melden usw., freifunk hat es juristisch auch mindestens nicht leicht. Das find ich alles nicht so gut, aber das ist halt leider geltendes Recht. Wir waren vielleicht schon mal weiter, aber das ist kein Thema für Techniker sondern für Politiker. Na ja, wie auch immer. Wenn man dagegen ist, sollte man vielleicht lieber auf eine Demo gehen oder so. Aber wenn der Staatsanwalt zur Schule kommt, weil jemand ein verfassungsfeindliches Symbol geladen hat, muss ich ihm ja auch nichts erklären und das Steuergeld ist eh weg, also ist es mir auch wieder ziemlich egal :))
IP aus was gemeines in Foren geschrieben wird oder so. Daher würde ich persönliche Proxy-Anmeldung verlangen.
Wie gesagt, das ist soweit alles vernüftig geregelt (Aufsicht, Datenschutzfreistellungen, Nutzungsbedingungen, etc...).
Na ja, optionale, freiwillig Nutzungsbedingungen und Aufsicht (die man umgeht, wenn man einfach nur einen Laptop hat) klingt für mich nicht so nach vernüftiger Regelung, aber der Eindruck kann natürlich total täuschen, ist auch alles OT hier :)
VPN ist natürlich ein weites Feld. *Daher* ziehe ich openSSH eigentlich vor.
Damit kann man auch wieder VPNs bauen, auch ein weites Feld :-)
Ja, dennoch wird das genau so ein Thema werden. Also versuche ich es gleich konzeptionell so anzupacken, dass es dann relativ sicher laufen kann. Wie sonst sollte man bspw. der Forderung, zukünftig auf die Bibliotheks-DB von *überall* zugreifen zu können, gerecht werden? Das ist ein öffentlicher Dienst und gehört eigentlich in die DMZ. [+ schwarze Brett]
Dazu würde ich ein Gateway schaffen, dass genau das und nichts anderes tut und es auf der Firewall laufen lassen. Klassische Firewallanwendung. Wenn man dazu aber Zugriff auf einen Apache mit PostgreSQL Datenbank gestattet, wo auch Lernende selbstprogrammiertes ablegen, macht man meiner Meinung nach was falsch. Obwohl in einer Schule ist das alles ja auch nicht sooo wichtig. Datenschutz relevante Datein darf man in so einem Netz natürlich nicht haben (Sekretariatscomputer?), dann hat man nichts geheimes und wenn das System eine ganze Woche ausfällt, macht es auch nichts. Obwohl ich mich frage, ob man den üblichen DMZ-Workaround dem Lernenden präsentieren sollte, es könnte ja dann wirken, als ob das ein Ziel sei (obwohl es ja ein Kompromiss ist, weil man keine richtige Firewall hat bzw. nicht über die entsprechenden Proxies und Gateways verfügt).
Eine Workstation mit `Daten im Netzlaufwerk' kann man fix neuinstallieren, wenn ein Virus drauf ist, aber einen gehackten Groupwareserver vielleicht nicht so einfach (weil man z.B. nicht weiss, welche Dokumente verändert wurden).
Ja. Ich hatte an anderer Stelle im Sommer das zweifelhafte Vergügen, einen Angriff auf einen Rootserver hinnehmen zu müssen.
Ja, sowas kann schnell teuer werden, wenn man 10.000 EUR Traffic bezahlen soll :(
Ach so, die Kiste muss selbst natürlich sicher sein, also sorgfältig machen, weil hier sicherlich extrem Angriffe von innen zu erwarten sind (die man vermutlich mit einem Paketfilter [Firewall] nur schwer unterdrückt bekommt, da HTTP ja dann eh erlaubt werden muss).
Kiste? In der DMZ würde ich nicht mehr zwischen drinnen und drausen unterscheiden wollen. *Alle* sind dann potentiell *böse* ;-)
Ich meinte, alle Maschinen sind vor allem ja Angriffen von *innen* ausgesetzt. Rein praktisch würde ich mehr `unerlaubte Benutzung' (Datenspionage wie Passwortangriffe oder gar Daten-Manipulation etc pp) durch Schüler erwarten, als durch Hacker von aussen. Dabei können Schüler natürlich ihr intern erworbenes Netzwissen (Struktur, Passwörter) auch für Angriffe von aussen nutzen. Ich bin mir sicher (auch wenn ich keine Zahlen habe), dass an Unis die allermeisten Angriffe durch Studenten erfolgen. Ist bei Schulen vermutlich ähnlich. Sind die Schüler unter 18, ist es sicherlich nur noch viel schlimmer und man kann nichts wirklich dagegen tun :)
Für DMZ vielleicht ein Satz von vmwares oder sowas? Könnte mir vorstellen, wenn man z.B. 5 virtuelle Maschinen hat, dass man sich da prima ein Internet simulieren kann (einfach mehrere IPs und paar dummy webseiten), dann eine dreiteilige Firewall (Paketfilter, Proxies, Paketfilter) und ein Angriffshost. Clients sind intern ja da. VMware Server kostet ja nichts mehr. Andere Produkte kenne/benutze ich nicht, es gibt aber natürlich auch andere.
Mir ist nicht klar, was genau du da meinst.
Ich würde auf einer physikalischen Maschine 5 virtuelle Maschinen installieren. Da kann man sich das flexibel konfigurieren. Man kann sogar die Netzwerkverkünpfungen ändern, ohne Kabel zu brauchen. Von der Konsole aus sieht man es aber nicht. Wer will, kann ein paar sTP Kabel auf den Tisch legen oder an die Wand kleben (es ist ja ein Irrglaube, dass Netzwerke anschaulich seien, wenn man sie nicht aufmalt, und wenn man sie aufmalt, sieht man zwischen physikalisch und virtuell auch keinen Unterschied). Diese virtuellen Maschinen kann man dann entsprechend nutzen. Da kann man auch schnell verschiedene Linuxe probieren etc. Es gibt im Internet sogar viele freie VMware Images zum Download. Da kann man dann zeigen, was wann wie passiert. Und selbst wenn ein Image kaputt ist (weil z.B. gar keine IP Adresse mehr da ist, weil man sich vertan hat), muss man nicht zum Server laufen und ne CD booten, sondern bloss die VMware zum letzen Snap zurücksetzen (bzw. Image-files [die Grossen] aus'm Backup holen und die Files überschreiben).
Ja, das ist eigentlich komisch, in der Tat. Aber MS hat die bunteren Prospekte (und da ist `unter der Haube' immer alles furchtbar kompliziert).
Ja, ich habe bspw. mal die MFC in der Tiefe kennen lernen *dürfen*, *schütteltsichgradalswärenlautermonsterimzimmer*.
Ja, objektorientierte GUI Programmierung. Mit C Macros. lol. Aber schnell ist der Kram, dass muss man MS lassen. Java Swing ist schön zu programmieren, aber schlecht zu benutzen (immer träge)...
Immerhin, *duckundganzschnellwegrenn* ist manches in der probrietären Welt scheinbar besser geworden. Als ein Beispiel, auf das ich kaum noch verzichten möchte, sei auf die Softwareverteilung im AD verwiesen. Mehr würde mir jetzt aber auch nicht einfallen - Bitte: Friedliche Weihnachten! ;-) (noch'n *duckundganzschnellwegguck*) Kenn mich da nicht aus, aber AD ist, wie ich finde, meistens einfach zu kompliziert (`Defective Actory' :)). Ich finde auch, dass es besser geworden ist. Ein Windows XP stürzt im Normalbetrieb in der Praxis normalerweise halt auch nicht mehr ab. Dafür ist Linux schlechter geworden (wenn man ein CD Rom wechselt, kann man es vom yast nicht verwenden, bis man eine Hardwareerkennung [im Gerätemanger? lol] durchgeführt hat).
In bestimmten Räumen sind an allen Schülertischen LAN-Steckdosen. Leider ist das nicht weiter segmentiert, so dass ich nur mittels DHCP regeln kann, wer wie verbunden wird. Da ich das sowohl unter w2k als auch oss machen konnte, läge mir viel daran, dem w2k3-Server die DHCP-Serverautorität auf Dauer zu rauben.
kann ich nicht viel zu sagen. Ich würde nur bekannte MAC-Adressen erlauben, unbekannte müssten sich registrieren (z.B. private Laptops). Das kann man beliebig kompliziert machen (MAC-Address-Filtering), ist aufwändig und macht kaum Spass. Meistens verzichtet man daher darauf. Auch daher sind viele Netze kaum vor Angriffen von innen geschützt.
WLan (=Wifi?) ist wenn, dann nur inerhalb der DMZ erlaubt.
(ja sorry, ist das gleiche. In Deutschland heisst es WLAN, sonst Wifi). ohh-ohh, wenn jeman seinen Laptop mit WLAN und einem LAN Kabel verbindet, hat kann er prima um Deine Firewall herrumrouten :( Ich würde für WLAN unbedingt ein eigenes Netz machen. Hab ich sogar zu Hause so. Für unbekannte DHCP Clienten, wenn überhaupt erlauben, dann auch eigenes Netz. Diese beiden eigenen Netze würde ich sehr restriktiv machen. Nee, ich würde gar kein WLAN machen. Wozu auch. Unterricht findet an festen Plätzen statt und da muss ein Kabel hin.
So die Idee - Ich lass mich da gern noch korrigieren, doch erscheint mir ein WLan konzeptionell zu unsicher. Apriori möchte ich den LAN-Teilnehmern da ein vergleichsweise höheres Vertrauen schenken.
Richtig, ein WLAN ist konzeptionell unsicher.. Ein LAN ohne physischen Zugriffsschutz (sprich, man kann irgendwas irgendwo ranhängen) ist allerdings ziemlich genauso unsicher.
Na ja, und wenn es mal einen Tag nicht geht, muss halt zu Hause gesaugt werden...
hehe ;-) Hier macht es auch Sinn, den Schülern klar zu machen, was sie sich im Zweifel aufgrund der potentiellen Strafbarkeit alles verbauen könnten. Da wissen die oft mehr als ich :-)
(OT Meinung) Ich glaube, heute ist vielen im Prinzip schon klar, wie die potentielle Strafbarkeit aussieht. Aber in der Praxis werden Software, Musik und gar Filme kopiert, getauscht und sogar `verkauft', es gibt Gewalt an Schulen, einige wohl schon mit Metalldetektoren, Butterflymesser (ohne Waffenbesitzkarte) bei Schülern, verfassungsfeindliche Symbole als Aufnäher an Rucksäcken oder Zeichnungen irgendwo, sogar von Schutzgelderpressungen muss man lesen. Die Liste liesse sich fortsetzen. Meiner Meinung nach sieht man das Versagen der Bildungspolitik und `Schule' da viel besser, als bei irgendwelchen PISA Studien.
Ja, squid oder ähnliches hilft. Obwohl heute die ganze Werbebildchen per default erstmal wohl immer `uncachable' sind und jedes Mal neu geladen werden sollen (weger der Statistiken und Dynamik). Da kann man aber wohl gut was hinkonfigurieren, um das zu verbessern. Ich hab mal gehört, das Werbebanner einen nennenswerten Anteil am Traffic haben, habe aber keine Zahlen zur Hand. Muss man dann halt sehen. Für wikipedia.org ist ein cache bestimmt prima.
dacore - Das wird ein Kampf gegen Windmühlen bleiben...
Windmühlen? Ich sehe Werbung als ein echtes Problem. Aber viele haben sich vermutlich schon so daran gewöhnt, mag sein, ja.
Aber irgendwas macht man doch immer auf die Win-Workstations drauf, oder? Na ja, keine Ahnung. Ich würde jedenfalls was installieren und beten. Ja, auch mich nervt der Kram sehr (auch wenn ich andere Probleme damit hatte).
Ja, und ich möchte nicht wissen, wieviel Leistung wir alle dafür hergeben müssen. 30%? Wenn man das mal in Watt hochrechnen würde ...
Idealerweise würde in diesem Fall jeder Schüler einen kleinen PC bekommen, vielleicht so ein VIA auf 486 Leistungsniveau. Das ist viel mehr, als man in der Mondfähre hatte. Damit kann man schon unheimlich viel machen (ausser auf Performanceverbrennung angelegte GUIs). Zum Lernen bestimmt viel besser geeignet. Aber das will man wohl oft gar nicht (das finde ich falsch und dazu könnte ich mich aufregen, aber ist ja nicht das Thema). Jedenfalls würde /das/ Strom sparen :)
Immerhin sind die Schüler-PCs relativ gut geschützt, ein reboot und alles ist erst mal wieder im Lot. - so jedenfalls das tägliche *Credo*
Achso, die speichern nichts persistent? Das ist wirklich prima!
Gerade kleine Kinder [...]
Großes Dacore! Ich halte persönlich auch überhaupt nichts davon, PCs als Spielzeug in das Kinderzimmer zu bringen. Autofahren darf man ja auch erst ab 16, doch ist mir die Realität in den Kinderzimmern durchaus bekannt.
(Autofahren im *öffentlichen Strassenverkehr* erst ab 16. Auf privaten Grundstücken (Kinderzimmer) darf man es immer.)
Natürlich ist es kein Geheimnis, dass es sowas gibt, klar. [...]. Natürlich ist es im Einzelfall schwer, eine Grenze zu ziehen.
und es hängt sehr stark von der Altersstruktur der Schüler ab.
Ja, `Schüler', die 30 oder älter sind, sind vermtulich zurückhaltender. Aber ich weiss nicht, ob Schwarzkopierei unter älteren nicht einfach nur seltener ist, weil ältere damit nicht so aufgewachsen sind (meiner Meinung nach spielt das eine Rolle).
[...] Ich weiss nicht, ob der Aufwand tragbar ist, aber ich würde erwarten, dass das kaum jemand nutzt [...]
Ich konnte beobachten, dass Sperren nur als sportliche Herausforderungen angesehen und schneller umgangen werden, als man sich es vorstellen kann ...
Dann muss man die Sperren verbessern. Wenn man es nicht hinbekommt, muss man das Internet `emulieren', beispielsweise, in dem man die notwendigen Webseiten lokal spiegelt. Sowas haben wir früher teils in Firewall-Test-Setups gemacht. Ist beim ersten Mal aber recht aufwändig. Jedenfalls ist die Schule ja kein Internetserviceprovider.
ich find sie dick, für eine Schule; mein erstes Modem hatte 14kbit, die es nie erreichte ;) 6 MBit... Für alles ausser `multi-media' ist das hoffentlich mehr als ausreichend.
Leider ist es immer genau das, was Schüler sich so nebenbei gerne ansehen ...
Ja, mein Reden, der "automatische, verantwortungsbewusste Umgang" funktioniert so einfach eben nicht. Also blocken.
Ja, es gibt Sammlungen bei: http://www.linux-schulserver.de oder OSS spezifisch: http://de.opensuse.org/Bildungswesen - Doch ist ein heterogener Mix aus serverseitigem Windows und Linux dort eher selten vertreten.
heterogene Netze sind doch normal, oder nicht?!
Jedenfalls wird da kaum eine DMZ eingerichtet ;-)
vielleicht hat das ja einen guten Grund... ;) oki, Steffen -- Dieses Schreiben wurde maschinell erstellt, es trägt daher weder Unterschrift noch Siegel. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
R. C. Graulich schrieb:
Hallo,
Am Sonntag, 23. Dezember 2007 schrieb Steffen Dettmer:
* R. C. Graulich wrote on Sun, Dec 23, 2007 at 19:21 +0100:
Ich plane ein mittelgroßes Netz (50++ homogene Clients), derzeit allein mit w2k3-Server, um eine DMZ mit interner und externer Firewall zu erweitern. wie dick ist der uplink?
Falsche Frage;-) es handelt sich um aDSL 6000. Mehr ist nicht drin.
Für die externe Firewall stehen mir alternativ ein einfacher Router (D-Link) und/oder ein älterer PC mit OSS-10.3 (Oss ist mir lediglich vertrauter als slackware/Debian) zur Verfügung. Der Router kann DynDNS und hat eine komfortabel konfigurierbare Firewall. Was würdet ihr vorziehen und warum? Ist mit "Firewall" hier lediglich ein Paketfilter gemeint? Wird Masquerading verwendet? Wenn ja, könnte der D-Link Router ja eventuell tatsächlich reichen; portforwarding ähnliche Sonderregeln, die man für die DMZ braucht, müsste er natürlich unterstützen. Wenn er reicht, würde ich ihn nehmen, weil einfacher.
Masquerading steht noch nicht genau fest. Hängt vom Proxy ab, und davon, ob auch "fremde" Benutzer mit ihren Notebooks ohne Domainen Account in das Internet dürfen.
wenn Fremde reindürfen...vergiss alles, was du über Sicherheit geschrieben hast! entweder extra Netz.. oder ist eh alles zu spät...
Für die Interne Firewall soll ein relativ schneller PC als Gateway, ebenfalls mit OSS 10.3 eingesetzt werden. FÜr einen Paketfilter an einer nicht allzufetten Leitung (wenns um ein paar wenige MBit geht) braucht man vermutlich gar nicht unbedingt einen schnellen PC. Kommt aber auf vieles an. Könnte mir vorstellen, dass ein aktuelles Firewallscript schnell automatisch (mehr oder weniger ungewollt) Tausende von Regeln erzeugt. Wenn man mehrere MBit VPN mit starker Verschlüsselung machen möchte, sollte die Rechenleistung natürlich auch nicht zu knapp sein.
na ja ist doch egal, wieviel Regeln, wenn immer die dritte Regel trifft! Für ein Paketfilter reicht eigentlich (fast) alles, was an Hardware da ist (wenn sie nich aus dem Museum kommt...)
VPN wird bestenfalls von mir zur gelegentlichen Fernwartung des W2k3 Servers genutzt. Der gewollte Zugriff von außen ist ansonsten eher die Ausnahme. Eigentlich wird nur die Fernwartung (vpn/ssh) benötigt.
Der Apache2 in der DMZ ist für eine noch zu schaffende Groupwarelösung angedacht und dient ansonsten kleinen Entwicklungsprojekten. Er könnte natürlich auch im LAN stehen, doch sollen hier die Schülern das Konzept einer DMZ kennenlernen.
na ja .. eigentlich mache ich eine DMZ, um von aussen ereichbar zu sein....gut ja Veranstaltungskalender usw. geht da...
..... Ich würde das ältere dann als Firewall verwenden. Meist meint man ja damit eher einfache Paketfilter. Dafür braucht man bei kleineren uplinks (wenige MBit) keine besonders grosse CPU. Wenn man verschlüsseln muss und/oder ein sehr komplexes Setup hat, würde ich natürlich unbedingt einen Performance-Test machen (die Scripte dann natürlich unbedingt aufheben).
Was sind eure Erfahrungen? Je einfacher, desto besser die Chancen, dass etwas funktioniert. Keep it simple, stupid.
Ja, das sehe ich eigentlich auch so und wenn ich es auch nirgends so sehe ...
Ehmm openvpn auf p2/500Mhz mit 128 MB RAM schafft die 800Kbis upload (hier) locker...mit mehreren Nutzern...also: ein IPCOP mit Openvpn, squid drauf...
Das gilt auch für die Konfiguration. Wenige Dienste, einfache Regeln usw. Wird ja schnell unübersichtlich. Manchmal werden Sachen einfach, wenn man statt 2 auch mal 3 oder 4 Netzwerkkarten einbaut (da kann man die Zugriffsbereiche segmentieren, ohne intelligenten Switches programmieren zu müssen etc).
Das währe machbar und doch nicht nötig. Könnte mal erforderlich sein, wenn wirklich alle Schüler mit ihren eigenen Notebooks über das Schulnetz in das Internet wollten.
wenn du alle möglichen Trojaner in deinem Netz loslassen können darfst... nur zu ... nicht dass es so kommen muss..aber du hast es gewollt! sonst muss das alles in ein anderes Netz....
Als Paketfilter müsste ich auch gar nicht unbedingt SuSE nehmen wollen. Lieber was kleines. Da gibts ja etliche Projekte. Würde das Filesystem vielleicht sogar auf DVD brennen (man kann ja ne RW nehmen), schwieriger zu manipulieren, wenn gehackt, da gabs Projekte, hab leider gerade keinen Namen im Kopf. Vielleicht geht das auch mit http://leaf.sourceforge.net/ oder OpenWRT.
Da hatte ich auch schon drüber nachgedacht, falls es eine reine Firewall werden sollte.
die Frage ist eher... wie gut du http/https filtern musst ...eigentlich ja (Jugendschutzgesetz)..praktisch: keine Ahnung...
Hat man mehrere einfache und von einander unabhängige Teile (z.B. Router/Firewalls/Server), kann man die oft einfacher administrieren. Man updated dann nur den Paketfilter usw. Sonst (all-in-one) hat man vielleicht das Problem, dass man den Paketfilter nicht aktualisieren kann, weil das neue PHP dann die Anwendung XYZ nicht mehr richtig ausführt (gut ist, wenn mans voher weiss, weil man es wirklich getestet hat :)). Daher finde ich die Idee mit den dedizierten (ggf. virtuellen) Servern gut. Wenn am Ende die Anwendung XYZ dann heute noch auf SuSE 8.2 laufen muss, störts ja kaum, wenn man der Firewall trauen kann, weil da alle patches (und möglichst wenig) drauf sind.
Das stimmt natürlich und wehe man übersieht dann den einen oder anderen Patch im alltäglichen Stress der Nichtigkeiten.
ach was... die Hälfte aller Patches interessiert dich gar nicht... wobei... man kann das manchmal auch im Hintergund laufen lassen (bei Susi)
Wenn es um ein "normales Netz" geht, reicht das oft vermutlich schon. Für höheren Schutzbedarf muss man zusehen, dass keine Verbindung direkt nach aussen oder gar umgekehrt möglich ist. Ob die DMZ unter diese Regel fällt oder nicht und wie im Detail, muss man sehen. Intern müsste dann jedenfalls *alles* über einen entsprechenden Proxy.
Ein Proxy erscheint mir sehr wahrscheinlich. Derzeit teste ich gerade, ob der eine gewisse Performancesteigerung bringt. Ich erwarte das, weil die üblichste Nutzung so aussieht: 30 Clients starten dieselben Abfragen (Google, Wiki, etc.) nahezu gleichzeitig, weil alle Schüler in etwa die gleiche Aufgabe abarbeiten.
squid als Filter...
Ob man da Virenscan mit einbaut oder nicht, muss man sehen (das ständige geupdate ist zumindestens theoretisch eine ziemliche Sicherheitsgefahr).
Virenscannern traue ich per se nicht. Die zerschossen mir regelmäßig wichtige Systemkomponenten (winlogon.exe, winvnc.exe, etc.) und jeder traut den Dingern mehr als dem eigenen Verstand ...
ach ja ? Hier ist das noch nie passiert..
Bei HTTP und Mail ist ein Proxy noch eher einfach (kommt natürlich sehr drauf an, wieviel funktionieren muss und was man verbieten möchte etc).
Da bin ich der Auffassung, dass Zensur nicht stattfinden sollte. Also per se ist alles erlaubt. Unsere Schüler sollen ja aufgeklärte Erwachsene werden und lernen, mit dem Internet sinnvoll umzugehen. Der Proxy macht nur als Cache Sinn, da die DSL-Leitung eher als dünn denn als dick zu bezeichnen ist.
Dein Wort in Staatsanwalts Gehörgang.... besonders wenn eDonkey oder so was auf den mitgebrachten Rechnern läuft.... oder ein Botnet.
Für Mail kann man einen kleinen Mailserver nehmen (was evtl. gegen zu kleine Linuxe wie OpenWRT sprechen könnte). Na ja, und dann muss man sehen, was für Protokolle man wie filtern können muss. Manchmal ist sowas wie SOCKS akzeptabel, manchmal nur für bestimmte Benutzer (wenn man sich den am Paketfilter anmelden kann, was mit Boardmitteln vermutlich erstmal nicht mehr) oder für bestimmte PC (also IPs, geht evtl. in einem einfachen Windows-Netz, da hat ja oft jeder "seinen" PC).
Mail ist kein so dringlicher Service. Aus (fernmelde-)rechtlichen Gründen wird es in absehbarer Zeit erstmal keine eigenen Mail-Dienste im LAN geben.
fernmelderechtlichen Gründen ??? also - bei Mail ist nun das Allereinfachste es so zu regeln , dass es KEIN privates Postfach ist...
(die kurze Antwort ist also "hängt davon ab",
ja, die Antwort habe ich oft selbst parat. ;-) Dennoch ist so ein Brainstorming hilfreich, da man sich über seine eigenen Ziele mal selbst klarer werden kann. Wie gesagt, mit Kollegen kann ich Fragen zur IT-Struktur kaum erörtern.
aber das ist wohl wenig hilfreich :))
Im Gegenteil Danke!
na dann los... typischerweise fangen wir erst mal und und überlegen nach längerer Zeit, was wir überhaupt wollen... Jedenfalls meine Erfahrung in kleineren Unternehmen.... Gruss Fred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (7)
-
Andreas
-
Fred Ockert
-
Joachim Marx
-
Juergen L
-
R. C. Graulich
-
Robert Großkopf
-
Steffen Dettmer