Hans-Dietrich Kirmse schrieb:
Dass die Rechner im Netzwerk nicht von jedem Nutzer nach Belieben gebootet werden können, sollte man voraussetzen können. Ansonsten braucht man über vieles nicht mehr nachzudenken.Guten Morgen, Am 23.10.2010 00:41, schrieb Klaus Knopper:Hallo allerseits, On Fri, Oct 22, 2010 at 08:08:48PM +0200, Joachim Heller wrote:Die Workstations können nur und ausschließlich den Server ansprechen.Da sind wir beim Problem. Wie wird das sicher gestellt?Sofern die Schüler keinen root-Zugang haben, können sie auch keine Defaultroute setzen (das ist der Eintrag, den man braucht, um das lokale Netz verlassen zu können). Wenn keine gesetzt ist, haben die Clients tatsächlich nicht die Möglichkeit, ins Internet zu kommen, außer über den per lokaler Netzwerkroute erreichbaren Tjener. Das Szenario funktioniert allerdings nur bei Clients, die vollständig unter Kontrolle sind.und kein CD-Laufwerk besitzen. Denn sonst könnten die Schüler (im Normalfall) mit Hilfe einer Knoppix-CD an diesen Rechnern problemlos ins Internet. Alternativ geht das häufig auch mit einem Stick. Bedeutet: an *jedem* Rechner wäre abzusichern, dass man keine eigenen CDs booten kann und ebenso nicht von USB-Geräten. Und eigene Geräte wären eh tabu (Stichwort Laptop-Klassen).
Auch hier hängt alles davon ab, was zwischen den zwei Netzwerkkarten stattfindet. Die Anzahl der Netzwerkkarten garantiert keine Sicherheit.Diese Problematik ist sofort vom Tisch, wenn der Schulserver wie von Joachim beschrieben 2 Netzwerkkarten hat, eine zum Router und eine für das lokale Netz.
Das ist keine naive Variante, das ist aus meiner Sicht die sichere und überschaubare Variante für einen Lehrer als Admin.Hier stimme ich Dir zwar zu. Aber, und das ist meine Meinung, hat sich hier ein Zustand etabliert, der in Wahrheit inakzeptabel ist. Das Administrieren eines Schulnetzwerkes ist keine Arbeit für nebenbei und mit drei Abminderungsstunden abgegolten. Und die Lösung besteht nicht darin, Schülerrechner auf die Funktionalität eines Fahrkartenautomaten zu reduzieren. Das Ganze geht nur mit Bildung, Weiterbildung und Anerkennung der Arbeit der Admins. Und das müssen keine Lehrer sein. Die haben in der Tat wahrhaft anderes zu tun. Das Problem können wir hier zwar nicht lösen, aber dennoch denke ich, dass der einzig brauchbare Weg der ist, die Administration der Netzwerke von Netzwerkadministratoren machen zu lassen. Und dann kann man auch gemeinsam mit den Pädagogen anspruchsvolle und passende Lösungen umsetzen.Wenn da nun jmd die IP vom Gateway (ist ja kein Geheimnis und jederzeit von jedem in der Doku nachlesbar) eintraegt?Zumindest unter Linux hat nur der Administrator dazu die Möglichkeit, aber es ist generell nicht ratsam, sich darauf zu verlassen, dass niemand im lokalen Netz in der Lage ist, etwas an seiner eigenen Netzwerkkonfiguration zu verändern. Eine bessere Variante, die auch mit schülereigenen Notebooks funktioniert, ist, auf dem Gateway das Forwarding ins Internet auf die IP des Tjener (10.0.2.2) zu beschränken, und keine anderen Rechner zuzulassen. Das hat bedingt mit dem Thema "Firewall" zu tun, ist aber eher eine selektive Freischaltung einer IP.diese Lösung mag sicher sein, aber ob die auch für einen normalen Lehrer-Admin zu überschauen und beherrschbar ist, das wag ich zu bezweifeln. Man verdonnert ihn mit solchen Lösungen dazu, sich mit Dingen *intensiv* auseinanderzusetzen, was keineswegs seine eigentliche Aufgabe ist (häufig unbezahlt). Das wäre damit frevelhafter Umgang mit den Zeitressourcen der Leute (Lehrer), die die Schul-Netze betreuen.
Herzlichst, Roland
Nur meine persönliche Meinung. Viele Grüße Hans-Dietrich
-- Roland F. Teichert roland@tzfsb.de Thüringer Zentrum für freie Software in der Bildung