Hallo Jesko, u.a. :)
Am 19.03.2015 um 07:53 schrieb Jesko Anschütz:
[snip]
Das hatte ich ja nicht vorgeschlagen.
Mein Vorschlag war ja: verschiedene Homes/shares auf dem Server zu
haben, von denen eines eben nur im Lehrerzimmer gemountet wird.
Und ich bin mir sicher: ob NAS oder server-share-LZ-only:
sicherheitstechnisch ist das identisch gut/schlecht. Daher kam meine
Frage: Warum wird ein NAS empfohlen, wenn wir den Server haben?
Das ist eben sicherheitstechnische nicht gleich gut... Gleich mehr dazu...
(...)
ALso NAS statt Server sehe ich nicht ein. Wenn der Server
kompromittiert ist, ist es eh worst-case.
Nein ist es nicht. Wenn das NAS im Lehrerzimmer steht, kann der
Server kompromittiert sein wie er will. Unbefugter Zugriff erfolgt
dann nur auf Arbeitsblätter und Übungsaufgaben, nicht aber auf
Elternbriefe, Noten und Krankenakte.
Wieso?
Weil...
Die Clients im LZ haben Zugriff auf das NAS. Der Server hat Zugriff auf
die Clients im LZ. *Wenn* der server kompromittiert ist (ich meine damit
root-rechte auf dem server), *sollte* root auch auf die clients
und auch auf das NAS kommen. Einzige Hürde kann das persönliche
Verschlüsseln sein.
Das stimmt. Als root kann man sich dann über verschiedene erlaubte
Zwischenstationen bis zum NAS durchhangeln. Aber man muss dann wissen,
was man tut (kein Sicherheitsaspekt, ich weiß. Es macht nur das
zufällige in die Hände geraten unwahrscheinlicher)
Aaaber.....
Wenn *nur* ein Lehrer-Konto kompromittiert ist, kommt ein Angreifer von
außen nur auf das Home_aus_Server, aber weder auf einen Client im LZ
noch auf das angeschlossene NAS, *noch* auf ein server-share-LZ-only.
... Woher weiss der Server, dass er einen Lehrerzimmer-Rechner vor sich hat?
--> IP-Adresse oder MAC-Adresse.
Beides lässt sich leicht fälschen.
Hier argumentierst du, dass man eine IP und MAC-Adresse fälschen kann
(ok) *und* dass dann der Switch *und* der L3-Router den Angreifer
durchlassen *und* dann eben durch gefälschte Daten vom Server angenommen
werden.
Gefühlsmäßig: Der VLAN Konfiguration traue ich das noch zu. Dem
L3-Router nicht mehr. Aber wenn das ginge, dann ist das subnetting
Konzept doch irgendwie hinfällig.
Das kann ja jemand beantworten, der sich mit dem Szenario auskennt:
Kann ein Rechner, der in Raum 5 stehen soll, also r005pc01 heißt und
dementsprechende IP hat in Raum 2 angestöpselt werden und sich mit dem
server (als r005pc01 verbinden) ?
Wenn du das NAS im Lehrerzimmer stehen hast, dann weiß schon der Switch,
dass von dem Port aus niemand im Lehrerzimmernetz was verloren hat. Aber
da Zugriffe aus allen VLANS auf den Server erlaubt sein müssen, ist das
vom Unterrichtsraum aus nicht immer so...
Und so ist meine Schlussfolgerung:
Das was "einfach" konfiguriert werden kann ist im Zweifel einer
komplexen Lösung vorzuziehen.
Das wäre für den endadministrator ja nicht komplex, wenn das von
linuxmuster.net schon vorkonfiguriert wäre.
Daher meine Schlussfolgerung, dass man ein NAS nicht braucht, wenn man
den server entsprechend konfiguriert
Wenn man da aber einen Fehler macht liegen die Daten offen. Das passiert
bei einem NAS im geschützten Netz nicht.
und ich frage mich, warum wir das
nicht in linuxmuster.net <http://linuxmuster.net> (von mir aus
optional) einbauen, dass man ein
zusätzliches server-share-LZ-only für empfindliche Daten der Lehrer
haben kann.
Ich will kein NAS zusätzlich managen und backupen.
Wenn du das NAS verwendest, wo der Server sein Backup drauf macht hast
du kein zusätzliches.
Das Backup könnte verschlüsselt auf dem Server liegen. Das ist aber
jetzt aus dem Bauch geschossen , ob das NAS das kann weiß ich nicht.
gibt es ja auch: kannst ja ecryptfs nehmen. oder einen truecrypt
container auf dem NAS, der vom server geöffnet wird.
Ein server-share-LZ-only ist auch ein Network Attached Storage.
Ja aber an einer Stelle im Netz wo theoretischer Zugriff von Clients
möglich ist, auf die Schüler regelmäßig Zugriff haben.
Wie gesagt: wenn das möglich ist, dann hab ich dem subnetting zu viel
kompetenz zugetraut - ist ja aber vllt. gar nicht vorgesehen.
LG Jesko
Danke und Grüße, Tobias
_______________________________________________
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
