Re: OT Re: Sicherheit in Schulnetzen, Was: Re: root den Zugriff auf home-verzeichnisse verbieten
Hallo Philipp,
Philipp Flesch wrote:
> Michael Hierweck schrieb:
>
> Ich weiss zwar nicht aus welchem Bundesland du kommst, aber viele Deiner
> Schilderungen entsprechend zumindest in meinem Bundesland nicht den
> Tatsachen.
ok, meine Beobachtung ist leider gegenteilig und meine Erfahrung aus
Gesprächen mit Personen die unmittelbar oder forschend/beratend im
Bereich Schulentwicklung oder Medienerziehung tätig ist eine andere.
Diese Leute fanden u.U. anderem meinen Vorschlag schlecht, die
Infrastruktur eines Schulnetzes etwa landesweit zentral zu entwickeln,
so dass nicht jede Schule die Problem selbst lösen muss. Nein, das würde
die Schulen zu sehr einschränken und dem Trend, die einzelnen Schulen
mit mehr Eigenständigkeit zu versehen, entgegen stehen. Daher solle jede
Schule eigenständig planen und beschaffen.
> Gerade an Schulen mit laengerer Schuelerbindung gehoeren Schueler zum
> festen Bild der Administration von Schulnetzen. Haeufig gibt es hier
> auch sehr interessante (und praemierte) Projekte ... selbst einige
> Schulserver sind aus diesen hervorgegangen.
Richtig, selbst ich habe vor rund 15 Jahren bei der Administration
unseres Informatikraumes unter Netware ;) mitgewirkt. Aus heutiger Sicht
muss mich damals der Teufel geritten haben, mit so wenig Ahnung,
Übersicht, Weitblick und Erfahrung...
>> Lehrer sind Experten für Bildung und fit in ihren Fächern. In diesem
>> Bereich müssen sie auch fortbilden und haben einen Vollzeitjob. Selbst
>> ein Informatikstudium (egal, ob Lehramt, Diplom, Bachelor oder Master)
>> macht noch Niemanden zum ausreichend erfahrenen Administrator.
>>
> Es gibt hier sehr interessante Fortbildungsmassnahmen, um die jeder
> Systemhausmitarbeiter einen Lehrer beneidet ...
Du weißt vermutlich aus eigener Erfahrung, dass man neben Fortbildungen
sehr viel praktische Erfahrung braucht, weil sonst trotz Aus- und
Fortbildung Anfängerfehler macht. Ferner weißt Du vermutlich, dass neben
der "Schulungen" die Fortbildung vor allem auf Eigeninitiative beruht,
üblicherweise dem stundenlangen Recherchieren (und Probieren auf
Testsystemen) zu Detailproblemen. Die Frage ist, ob Schüler oder Lehrer
das neben ihrem Hauptjob leisten können. (Beispiel: Darf die die Option
xy des internen Apache in unserer shared-Umgebung (shared, weil mehrere
Schulprojekt dort ihre Sachen hosten), die das eine Projekt für ihren
Appserver braucht setzen und reiße ich damit ein Sicherheitsloch auf. So
eine Frage beschäftigt einen locker mal Stunden.
Trotz Fortbildungen kenne ich Lehrer, die an Schulen hier in der Gegend
die Administration übernehmen, die "Thin Client" oder "Managed Switch"
noch nie gehört haben. Aber sie kennen "Wächterkarten" und vertrauen darauf.
>> Warum ist das Administrieren eines Schulnetzes auch für erfahrene
>> Administratoren so kritisch:
>>
>> a) Es gibt sehr viele Computer, sagen wir 5 in der Verwaltung,
>> Lehrerzimmer, SV, Bücherei, zwei Computerräume mit je 15 Stück, 60
>> Klassen- und Fachräume mit je einem. Dann sind wir schon bei beinahe
>> 100. Dazu kommen noch eine unbekannte Zahl von Server.
>>
> Mit den richtigen Werkzeugen installierst Du 20 Computer in der selben
> Zeit wie 400 ;-)
Klar, wenn die homogen wäre sogar 100. Sind sie in der Praxis aber
erfahrungsgemäß nicht. In den Schulen in denen ich bislang war, haben
die regelrechte Zoos. Eine hat sich gerade für die Spende von 20
ausgemusterten PCs unterschiedlicher Bauart mit Windows 2000 gefreut.
>> c) Im Schulnetz wird mit (höchst) sensiblen Daten gearbeitet, sowohl
>> personenenbezogenen wie auch schulverwaltungsbezogenen (etwa die
>> genannten Prüfungsfragen, aber auch weitere.)
>>
> nein nur im Verwaltungsnetz, nicht im Schulnetz
> beide muessen in fast allen Bundeslaendern physikalisch getrennt sein
> und zum Internet ueber eine Firewall verfuegen
Auch abgespeicherte Arbeitsleitungen von Schülern müssen vor Einsicht
oder Manipulation geschützt werden. D.h. selbst (lokale) Exploits, die
solche Daten zugänglich machen, sind kritisch.
>> d) Die Netzwerkinfrastruktur ist über das gesamte Gebäude oder gar
>> mehrere verteilt.
>>
> Stimmt!
> Aber man patcht i.d.R. nur benoetigte Dosen auf - erst Recht im
> Verwaltungsnetz
Das genügt eigentlich nicht. Eigentlich auch sichergestellt sein, dass
nur vertrauenswürdige Geräte angeschlossen werden. Selbst eine benötigte
Netzwerkdose kann durch Umstöpseln zum Ausgangspunkt einer Attacke werden.
>> e) Potentielle Angreifer kommen auch von innen.
>>
> haengt vom Schultypen ab. An einer Berufsschule mit Fachinformatikern
> eher als an einer Grundschule
Grundschule vielleicht nicht, aber alles darüber.
>> f) Es fehlt an Know-How und vor allem Geld für geeigenete Hardware (etwa
>> wirksame Firewalls zwischen Teilnetzen, Managed Switches/Router um Ports
>> zu kontrollieren, zusätzliche Hardware/Verkabelung um sichere/unsichere
>> Netzwerksegmente zu trennen)
>>
> nein - hier findet ein Umdenken statt. Die Trennung ist sogar schon fast
> immer gegeben. Vieles laesst sich auch mit weniger Geld realisieren
> (z.B. nur Aufpatchen der benoetigen Dosen im Verwaltungsnetz,
> Serverschrank abgeschlossen, ...)
siehe oben
>> g) Es wird Hardware (Lehrer-Laptops) von zu Hause mitgebracht und
>> angeschlossen.
>>
> Halb so wild - Virenscanner auf dem Server ist da ein erster Schritt.
Ob das reicht? Wenn der Feind von innen kommt, muss man eigentlich
_alle_ Rechner so verrammeln als wären sie direkt mit dem Internet
verbunden, weil der mitgebrachte Laptop das "böse" Internet ins Haus holt.
>> i) Viele der Anwender (Lehrer), die auch auf kritische Daten Zugriff
>> haben, sind klassische DAUs und wissen, was sie tun und verstehen nicht,
>> warum man im Schulnetz nicht alles darf, was man auf der Windows-Kiste
>> zu Hause kann.
>>
> Auf was fuer kritsche Daten hat er denn Zugriff?
Kritisch sind zumindest alle Daten, die von Schülern erzeugt wurden.
(siehe oben). Auch diese wollen nicht vom durch den Lehrer
eingeschleppten Virus manipuliert werden.
> also an meiner ehemaligen Schule laeuft das sehr schoen.
> Der Server ist betreut - der Systembetreuer reinstalliert Clients bei
> Bedarf per Mausklick (ZEN WORKS IMAGING) ... eigentlich war es so
> gedacht, dass ihm extern pro Jahr ein Image gebaut wird ... inzwischen
> baut er sich regelmaessig sein eigenes neues
> Die Schueleradmins unterstuetzen ihn bei der Neuinstallation von Clients
Ich dachte die Installation erfolgt per Klick?
Grundsätzlich wird aber Software-Management, egal ob über Images oder
andere Systeme, mit der Vielzahl unterschiedlicher Clients immer
komplizierter. Das Bereitstellen aktueller Images genügt natürlich auch
nicht jährlich, sondern muss u.U. sofort erfolgen. (Quasi: sobald das
Debian Security Team ein aktualisiertes Paket veröffentlich, muss das
auf den Testsystemen erprobt und die Images angepasst werden. Nun hofft
man darauf, dass man möglichst wenige Images hat und Lehrer- bzw.
Schüleradmins Zeit dafür haben, bevor ein Exploit erscheint.) Das
Übertragen der Images zu den Clients muss natürlich gesichert
(verschlüsselt) erfolgen.
In Unternehmensnetzen habe ich hinsichtlich lokaler Exploits etwas
weniger Angst. Aus Schülersicht ist es ja auch immer etwas "sportlich"
zu schauen, was im Netz geht. Dazu ist üblicherweise ist das Verhältnis
Admins/Computer und Admins/Nutzer auch wesentlich günstiger.
> ... Kontrolle von Druckern usw.
> Wir haben aber ein Auditing an, dass jede Interaktion der Schueler
> mitloggt.
Da speichert dieser Schule aber tonnenweise personenbezogener und
schützenswerter Daten, die dann mangels Verbindung zum Verwaltungsnetz
irgendwo im Schulnetz bleiben. Über entsprechend Exploits könnte man
diese Auslesen, Löschen oder "viel spannender" geeignet ergänzen, um
einem ungeliebten Mitschüler etwas anzuhängen.
> Auf die Lehrerverzeichnisse koennen die "Schueleradmins" nicht zugreifen.
Aber sie könnten dem Lehrer einen manipuliertes Executable auf das
lokale System legen. Das besorgt den Zugriff, wenn der Lehrer selbst
"arbeiten" will.
> Um den Schuelern nicht den Spass zu nehmen, leisten wir uns ein Testnetz
> mit gebrauchter Hardware, in der es alle Funktionen des grossen
> Netzwerks auch gibt und wo die Schueler auch die Sachen ausprobieren
> duerfen, die sie im groessen Netz nicht duerfen.
Das klingt gut.
> Das Verwaltungsnetz ist komplett getrennt - die Verwaltung hat Ihren
> eigenen Admin.
Das auch.
Es wird jetzt aber völlig Off-Topic. Ich wollte eigentlich _nur_ darauf
hinaus, dass auch eine Schule dem Administrator vertrauen muss. Bevor
wir über das Verhindern der Zugriffs von root auf home-dirs diskutieren,
haben wir ganz andere Probleme zu lösen.
Wie auch immer - wenn das an dieser Schule alles so hervorragend klappt,
würde mich noch interessieren, wie hoch der jährliche Betreuungsaufwand
etwa pro Arbeitsplatz ist und was den Nutzern an Anwendungen und
Serverdiensten zur Verfügung steht.
Viele Grüße
Michael
--
EDV-Serviceteam Werthmann & Hierweck GbR
Annika Werthmann, Michael Hierweck
Egerstraße 53, 44225 Dortmund
http://www.edv-serviceteam.net
Reply to: