OT Re: Sicherheit in Schulnetzen, Was: Re: root den Zugriff auf home-verzeichnisse verbieten

[Philipp Flesch <philipp@phflesch.de>]

Michael Hierweck schrieb:
> Hallo,
>
> Joerg Friedrich wrote:
>   
> > Matthias Müller schrieb am Sonntag, 20. Juli 2008 um 21:15:56 +0200:
> >     
> > > Am Sonntag, 20. Juli 2008 07:33 schrieb Gernot Zander:
> > >
> > >       
> > > > Das Problem taucht(e) zuweilen an Schulen auf, wo oftmals ein Schüler
> > > > oder untergebener Lehrer Admin ist, weil's der Schulleiter nicht kann
> > > > oder will, dann aber Mails kommen mit z.B. Prüfungsfragen...
> > > > (Dass dazwischen noch 15 andere Admins sitzen, über deren Router die
> > > > Mail geht, macht nichts - die sieht man ja nicht.)
> > > >         
> > > In Baden-Württemberg wurden an den Gymnasien, zwei 
> > > sogenannte "Vergleichsarbeiten" abgesagt, weil deren Inhalt auf unerklärliche 
> > > Weise im Internet landeten. Diese Vergleichsarbeiten werden zentral im 
> > > Kultusministerium erarbeitet und dann per E-Mail an die Schulen verteilt.
> > >       
> > http://www.kultusportal-bw.de/servlet/PB/-s/16wb5bb5eiubo191x30ftncclh156cvke/menu/1231743/index.html
> > http://www.kultusportal-bw.de/servlet/PB/-s/16wb5bb5eiubo191x30ftncclh156cvke/menu/1231883/index.html
> >     
>
> Ein Schüler oder ein Lehrer sind für das Aufgabengebiet des
> Administrators eines Schulnetzes kaum geeignet.
>   
Ich kenne die Umstaende nicht genau genug, aber eigentlich kann so etwas 
nicht passieren, wenn man die Netzwerke in Schulen so aufbaut, wie es 
empfohlen/vorgeschrieben ist.
Dann sind Verwaltungs- und Schulnetz naemlich getrennt. Natuerlich 
koennte man jetzt noch die Fehlerquelle E-Mail-Postfach des Lehrers 
haben - aber eigentlich sollte alle Behoerdenkommunikation entweder 
ueber die "Poststelle" (Verwaltung) oder einen E-Mail-Account des 
Verwaltungsnetzes ablaufen ...
> Damit möchte ich beiden Personengruppen nicht zu nahe treten und
> insbesondere nicht grundsätzlich die Kompetenz absprechen, aber:
>   
Ich weiss zwar nicht aus welchem Bundesland du kommst, aber viele Deiner 
Schilderungen entsprechend zumindest in meinem Bundesland nicht den 
Tatsachen.

> Schüler befinden sich noch in der allgemeinen (Vollzeit-)Ausbildung und
> privat angeeignetes Wissen wird, gerade mangels Grundlagenausbildung und
> Praxiserfahrung kaum ausreichen, um ein Schulnetz zu administrieren.
> Schüler stehen erfahrungsgemäß auch nicht langfristig zur Verfügung
> (vgl. mit stud. Hk. an der Uni), so dass umfangreiche Einarbeitung nicht
> möglich ist.
>   
Gerade an Schulen mit laengerer Schuelerbindung gehoeren Schueler zum 
festen Bild der Administration von Schulnetzen. Haeufig gibt es hier 
auch sehr interessante (und praemierte) Projekte ... selbst einige 
Schulserver sind aus diesen hervorgegangen.
> Lehrer sind Experten für Bildung und fit in ihren Fächern. In diesem
> Bereich müssen sie auch fortbilden und haben einen Vollzeitjob. Selbst
> ein Informatikstudium (egal, ob Lehramt, Diplom, Bachelor oder Master)
> macht noch Niemanden zum ausreichend erfahrenen Administrator.
>   
Es gibt hier sehr interessante Fortbildungsmassnahmen, um die jeder 
Systemhausmitarbeiter einen Lehrer beneidet ...

aber generell hast Du schon recht ... eigentlich gehoert ein Schulnetz 
in professionelle Haende. Allerdings es oft ein fauler Kompromiss - 
weniger externe Arbeit und dafuer mehr Rechner.
Im Idealfall findet man aber einen Mittelweg:
Betreuung des Servers durch externen Anbieter, Betreuung der Clients 
(Software - Stichwort intelligentes Cloning) durch "Schule" (Hardware 
per Hersteller-Vor-Ort-Service).
Das Verwaltungsnetz gehoert schon wg. Schueler und Lehrerdatei 
ausschliesslich in die Haende des Sachaufwandstraeges bzw. eines 
Mitarbeiters der Schulleitung
> Warum ist das Administrieren eines Schulnetzes auch für erfahrene
> Administratoren so kritisch:
>
> a) Es gibt sehr viele Computer, sagen wir 5 in der Verwaltung,
> Lehrerzimmer, SV, Bücherei, zwei Computerräume mit je 15 Stück, 60
> Klassen- und Fachräume mit je einem. Dann sind wir schon bei beinahe
> 100. Dazu kommen noch eine unbekannte Zahl von Server.
>   
Mit den richtigen Werkzeugen installierst Du 20 Computer in der selben 
Zeit wie 400 ;-)
> b) Die Struktur ist üblicherweise heterogen, was den Aufwand
> vervielfacht, vor allem beim Software-Management.
>   
stimmt
> c) Im Schulnetz wird mit (höchst) sensiblen Daten gearbeitet, sowohl
> personenenbezogenen wie auch schulverwaltungsbezogenen (etwa die
> genannten Prüfungsfragen, aber auch weitere.)
>   
nein nur im Verwaltungsnetz, nicht im Schulnetz
beide muessen in fast allen Bundeslaendern physikalisch getrennt sein 
und zum Internet ueber eine Firewall verfuegen
> d) Die Netzwerkinfrastruktur ist über das gesamte Gebäude oder gar
> mehrere verteilt.
>   
Stimmt!
Aber man patcht i.d.R. nur benoetigte Dosen auf - erst Recht im 
Verwaltungsnetz
> e) Potentielle Angreifer kommen auch von innen.
>   
haengt vom Schultypen ab. An einer Berufsschule mit Fachinformatikern 
eher als an einer Grundschule
> f) Es fehlt an Know-How und vor allem Geld für geeigenete Hardware (etwa
> wirksame Firewalls zwischen Teilnetzen, Managed Switches/Router um Ports
> zu kontrollieren, zusätzliche Hardware/Verkabelung um sichere/unsichere
> Netzwerksegmente zu trennen)
>   
nein - hier findet ein Umdenken statt. Die Trennung ist sogar schon fast 
immer gegeben. Vieles laesst sich auch mit weniger Geld realisieren 
(z.B. nur Aufpatchen der benoetigen Dosen im Verwaltungsnetz, 
Serverschrank abgeschlossen, ...)
> g) Es wird Hardware (Lehrer-Laptops) von zu Hause mitgebracht und
> angeschlossen.
>   
Halb so wild - Virenscanner auf dem Server ist da ein erster Schritt.
> h) Es wird viel unterschiedliche Lern- und Lehrsoftware eingesetzt,
> welche mitunter für Mehrbenutzerumgebungen kaum geeignet ist.
>   
oh ja ... ein sehr altes Thema ... noch schlimmer: haeufig nicht Linux 
kompatibel
> i) Viele der Anwender (Lehrer), die auch auf kritische Daten Zugriff
> haben, sind klassische DAUs und wissen, was sie tun und verstehen nicht,
> warum man im Schulnetz nicht alles darf, was man auf der Windows-Kiste
> zu Hause kann.
>   
Auf was fuer kritsche Daten hat er denn Zugriff? Er schreibt Zeugnisse 
(die meisten Tools dafuer sind recht sicher - ok einige arbeiten noch 
mit Word und co aber das gibt es kaum noch) - er hat ausserdem nur die 
Daten einer Schueler.
In vielen Schulen koennen die Zeugnisse sogar nur an bestimmten 
"Zeugnisstationen" eingegeben werden, die nur im Verwaltungsnetz haengen.
Eine weitere Moeglichkeit ist es, hier per Terminalserver zu arbeiten.
> Das *kann* niemand nebenbei in einer Weise betreuen, die eigentlich
> benötigt würde. Eigentlich bräuchte man ein Team von Spezialisten, von
> denen sich einer speziell um Netzwerke, Router, Firewalls und Switches,
> einer um Software und Software-Distribution/-Management und ein weiterer
> um Hardware und Peripheriegeräte kümmern sollte. Ich wette, höchstens
> dem ersten wird es evtl. zeitweise langweilig, wenn das erstmal alles
> aufgebaut ist.
>   
also an meiner ehemaligen Schule laeuft das sehr schoen.
Der Server ist betreut - der Systembetreuer reinstalliert Clients bei 
Bedarf per Mausklick (ZEN WORKS IMAGING) ... eigentlich war es so 
gedacht, dass ihm extern pro Jahr ein Image gebaut wird ... inzwischen 
baut er sich regelmaessig sein eigenes neues
Die Schueleradmins unterstuetzen ihn bei der Neuinstallation von Clients 
... Kontrolle von Druckern usw.
Wir haben aber ein Auditing an, dass jede Interaktion der Schueler mitloggt.
Auf die Lehrerverzeichnisse koennen die "Schueleradmins" nicht zugreifen.
Um den Schuelern nicht den Spass zu nehmen, leisten wir uns ein Testnetz 
mit gebrauchter Hardware, in der es alle Funktionen des grossen 
Netzwerks auch gibt und wo die Schueler auch die Sachen ausprobieren 
duerfen, die sie im groessen Netz nicht duerfen.

Das Verwaltungsnetz ist komplett getrennt - die Verwaltung hat Ihren 
eigenen Admin.


Philipp