Re: [lmn] Subnetting - Netzbrief - Umsetzung
Hallo Hans-Dietrich, bei PDC und BDC denke ich noch in NT4-Domänen - was wohl für Samba 3.x auch angemessen ist. Was AD und Samba 4.x mehr können, weiß ich nicht. Mit Windows NT könnte man Deine Idee vielleicht so umsetzen: Die Lehrerrechner sind Mitglieder der Domäne LEHRER. Sensible Daten befinden sich nur auf Servern der in Domäne LEHRER. Die Ressouren sollten versteckt sein. Die Domäne SCHULE vertraut der Domäne LEHRER, so dass die Lehrer auch auf Ressourcen der Domäne SCHULE zugreifen können, ohne dass eine doppelte Kontenführung erforderlich wird. Umgekehrt gibt es keine Vertrauensstellung, so dass man aus SCHULE nicht auf die versteckten Ressourcen in LEHRER zugreifen kann, d. H. sich von dort aus sich nicht einmal an der Domäne LEHRER anmelden kann. Hier einige Ansatzpunkte zu Vertrauensstellungen in Samba: https://books.google.de/books?id=JerK9MI3zJYCpg=PA256lpg=PA256dq=samba+vertrauensstellung+zwischen+dom%C3%A4nensource=blots=SmTEjuFw5Vsig=57biT9oLxxH1UiFpdqqYhx-WjpEhl=desa=Xei=ot0LVfj_MIfjUeuEgvgIredir_esc=y http://www.administrator.de/frage/vertrauensstellung-zwischen-linux-windows-dom%C3%A4nen-31570.html Um es nicht unnötig kompliziert zu machen (wenn es überhaupt ginge), würde ich zwei physikalische Server nehmen, allenfalls 2 virtualisierte, nicht jedoch versuchen zwei Instanzen von Samba auf einem Server zu implementieren. Gruß Jürgen P.S.: Den Ansatz die Netztrennung in der Anwendungsschicht zu sichern anstelle in TCP/IP finde ich alles andere als OT ;-) Am 20.03.2015 um 07:35 schrieb Hans-Dietrich Kirmse: Hallo Tobias, die Argumentation in deiner Mail finde ich sehr überzeugend. Wenn man den Gedanken weiterspinnt, kommt man doch zu folgender Lösung: Problem ist doch, dass sich der Computer nicht dafür authentifizieren muss, im richtigen Netz zu sein. Aber wenn man statt richtigen Netz eben in der richtigen Domäne verwendet, dann sollte ein Angriff über das Fälschen von MAC und IP ins Leere gehen. Will damit sagen: es müßten 2 Domänen konfiguriert werden. Die Rechner des Lehrernetzes kommen in die eine Domäne und die Rechner des pädagischen Netzes in die andere Domäne. Durch das Aufnehmen des Rechners in die Domäne durch den Administrator wird doch damit sicher gestellt, dass die Rechner im richtigen Netz sind - sonst geht die Anmeldung schief. Die Belastung der Lehrer nimmt nicht wirklich zu, weil doch bei den Rechnern die Domäne voreingestellt ist. Ob man mit einem Samba 2 Domänen konfigurieren kann, weiss ich nicht genau, ich denke aber ja. Aber zweifellos geht es mit 2 Instanzen von Samba. Da ist es kein Problem die entsprechenden Shares zuzuordnen und auch verschiedene Anmeldescripte zu verwenden. Alternativ kann man auch 2 Rechner (als PDCs) verwenden, muss aber dann die Shares beiden Rechnern zur Verfügung stellen, d.h. zumindest für mich, dass die auf ein NAS ausgelagert sein müssen. zusammengefasst: die Rechner müssen sich (ebenso wie die User) authentifizieren. Aber genau dafür gibt es doch die Domäne(n). Also startet man Samba zweimal und konfiguriert einen für das Lehrernetz und einen für das pädagogische Netz. m.E. braucht es dann keine VLANs, keine managebaren Switche ... Dumm ist, dass der Netzbrief von uneterschiedlichen Netzen schreibt. Hier würde aber der Zugriff aber durch die Software geregelt, die den Zugriff auf die Dateien verwaltet (also Samba). D.h. erst nach dem Netz. Das Netz wäre völlig irrelevant. Bemerkungen zur Umsetzung: so wie ich das sehe braucht man nur den Samba entsprechend zu konfigurieren (sollte einfach sein) und zweimal zu starten (das wäre ein Problem, denn man braucht ein weiteres Startscript - das kann ich aber nicht). Es reicht der eine LDAP. Um die 2. Domäne im LDAP anzulegen, dazu braucht man nichtmal einen Befehl für den LDAP, das geht mit Befehlen für Samba. Viele Grüße Hans-Dietrich Am 20.03.2015 um 05:42 schrieb T. Küchel: Hallo Holger, ich hab noch mal nachgelesen und, wenn du nichts dagegen hast, poste ich hier mein (Un?)verständnis: Ich beziehe mich mal auf die Doku von Thomas, http://www.linuxmuster.net/wiki/dokumentation:addons:subnetting:l3switch Am 19.03.2015 um 19:14 schrieb Holger Baumhof: Also: ist das Netz richtig konfiguriert ist es nicht möglich, sich aus irgend einem anderen subnet als dem Lehrernetz dem server gegenüber als dem lehrernetz zugehörig aus zu geben. Das verstehe ich jetzt so: Hängt sich jemand an Thomas's L2-Switch 1 (Tags: 12,13,100,200) und gibt sich eine IP und MAC aus dem Lehrernetz, dann kann der L2-Switch ihn nicht taggen. Der Rechner muss aber über das Lehrernetz-Gateway 10.30.10.254 zum server, sonst kommt er gar nicht weiter. Das Gateway befindet sich aber im VLAN-50 getaggten Verkehr. Ich kann mir vorstellen, dass es von der Konfiguration der L2-Switche und des L3-Switches abhängt, was mit den nicht-getaggten Paketen des gefakten LZ-PCs passiert. Die Bilder suggerieren, dass man VLAN-50 Pakete von GE4 ausschliessen
Re: [lmn] Subnetting - Netzbrief - Umsetzung
Hallo Hans-Dietrich und Jürgen, danke für die Beiträge, Am 20.03.2015 um 11:13 schrieb Juergen Engeland: Hallo Hans-Dietrich, bei PDC und BDC denke ich noch in NT4-Domänen - was wohl für Samba 3.x auch angemessen ist. Was AD und Samba 4.x mehr können, weiß ich nicht. Ich hab keine Ahnung. Aber auch in deinem Link unten les ich in der Lösung kurz drüber: Kerberos. Wenn ich an Client-Server authentifizierung der Rechner denke, vermute ich dass wir plattformübergreifend auf eine solche Umsetzung der Vertrauensstellung hinauslaufen. Aber um es mit deinen Worten zu sagen: Um es nicht unnötig kompliziert zu machen (wenn es überhaupt ginge), würde ich zwei physikalische Server nehmen, allenfalls 2 virtualisierte, nicht jedoch versuchen zwei Instanzen von Samba auf einem Server zu implementieren. Zwei Domänen hören sich für mich komplizierter an als zwei Samba-Instanzen in derselben Domäne. Vermutlich ist meine Idee von zwei Samba-Instanzen auf verschiedenen Interfaces zu simpel. Testen würde ich dies jedoch zunächst, bevor ich mit 2 Domänen anfange. Gruß Jürgen P.S.: Den Ansatz die Netztrennung in der Anwendungsschicht zu sichern anstelle in TCP/IP finde ich alles andere als OT ;-) Ok. So hab ich das gar nicht gesehen. Ich dachte bloß: komisch, dass ich als normaler Schulnetzberater einen linuxmuster.net-haumichdrauf-eierlegende-wollmilch-sau-super-Server relativ simpel installiere und manage dann noch empfohlen kriege ein NAS hinzustellen (?). Das ist untypisch. Grüße, Tobias ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Subnetting - Netzbrief - Umsetzung
Hallo Jürgen, Am 20.03.2015 um 11:13 schrieb Juergen Engeland: Hallo Hans-Dietrich, bei PDC und BDC denke ich noch in NT4-Domänen - was wohl für Samba 3.x auch angemessen ist. ich denke auch in NT4-Domänen. Was AD und Samba 4.x mehr können, weiß ich nicht. na sicherlich die Verwaltung der Gruppenrichtlinien - aber hier uninteressant. Und sicherlich auch kerberos (Stichwort single sign on) ist aber auch an der Stelle uninteressant. Mit Windows NT könnte man Deine Idee vielleicht so umsetzen: Die Lehrerrechner sind Mitglieder der Domäne LEHRER. Sensible Daten befinden sich nur auf Servern der in Domäne LEHRER. Die Ressouren sollten versteckt sein. so war das nicht gemeint. Die Daten sind weiterhin auf einem Server. Es gibt weiterhin nur ein /home und entsprechende Shares auf entsprechende Unterverzeichnisse - für was auch immer. Die Domäne SCHULE vertraut der Domäne LEHRER, so dass die Lehrer auch auf Ressourcen der Domäne SCHULE zugreifen können, ohne dass eine doppelte Kontenführung erforderlich wird. Es gibt 2 Domänen mit jeweils eigener Konfiguration. Aber beide Domänen greifen auf /home zu und bei beiden Domänen sind die gleichen User aus dem LDAP eingebunden. Nur welche Shares für die Domäne LEHRER sichtbar sind und wer darauf zugreifen kann, dass kann man doch konfigurieren. Das ist nichts neues. Neu ist/wäre, dass nur von den Rechnern zugegriffen werden kann, die der Admin vorher in diese Domäne LEHRER aufgenommen hat. Bei der Domäne SCHULE gilt das analog. Aber man kann das doch (hoffentlich) so machen, das nur von den Rechnern zugegriffen werden kann, die der Admin vorher in diese Domäne aufgenommen hat. (denke bzw. hoffe ich). Aber eine doppelte Buchführung gibt es nicht, weil beide Domänen auf den gleichen LDAP zugreifen (würde m.E. sogar ohne LDAP gehen). will sagen, ich sehe keinerlei Notwendigkeit für eine Vertrauensstellung, im Gegenteil, die beiden Domänen sollen ja unabhängig sein. Umgekehrt gibt es keine Vertrauensstellung, so dass man aus SCHULE nicht auf die versteckten Ressourcen in LEHRER zugreifen kann, d. H. sich von dort aus sich nicht einmal an der Domäne LEHRER anmelden kann. Okay, sowas würde man sogar machen können (denke ich jetzt), aber das wäre mir zu kompliziert. Mir würde es reichen, wenn bei den (Windows-)Rechnern im Lehrernetz bei der Anmeldung eben die Domäne LEHRER voreingestellt ist und bei den Rechnern der Schüler die Domäne SCHULE. Er gibt sein Login und Passwort ein wie gewohnt und fertig. Hier einige Ansatzpunkte zu Vertrauensstellungen in Samba: https://books.google.de/books?id=JerK9MI3zJYCpg=PA256lpg=PA256dq=samba+vertrauensstellung+zwischen+dom%C3%A4nensource=blots=SmTEjuFw5Vsig=57biT9oLxxH1UiFpdqqYhx-WjpEhl=desa=Xei=ot0LVfj_MIfjUeuEgvgIredir_esc=y http://www.administrator.de/frage/vertrauensstellung-zwischen-linux-windows-dom%C3%A4nen-31570.html also wie schon gesagt: ich würde keine Vertrauensstellung brauchen, nichtmal haben wollen. Denn sonst ist es ja kaum vermittelbar, dass es sowas wie 2 getrennte Netze darstellen soll. Um es nicht unnötig kompliziert zu machen (wenn es überhaupt ginge), würde ich zwei physikalische Server nehmen, allenfalls 2 virtualisierte, nicht jedoch versuchen zwei Instanzen von Samba auf einem Server zu implementieren. Dann hast du doch auuch 2 Sambas, die zudem verschieden konfiguriert werden müssen - darum geht es ja. Aber: damit z.B. alle auf ihr Homeverzeichnis zugreifen können oder auf das Tauschlaufwerk (Lehrer von allen Rechnern!) müssen beiden Servern die Daten untergeschoben werden. Das bedeutet, du brauchst einen weiteren Server für die Daten. Üblicherweise ein NAS. Nach meinen Vorstellungen braucht man den sowieso schon vorhandenen Samba nur noch einmal zu starten und natürlich entsprechend zu konfigurieren. Aber das muss man eh. Ich sehe den Aufwand mit 2 Instanzen als deutlich geringer als 2 virtuelle Maschinen für die PDCs und dann noch eine für das NAS. Was das Problem ist (und dadurch ist es wohl deutlich schwieriger), dass es kaum einer macht und damit ist es doch neu. Aber auch der Netzbrief ist in seinen Anforderungen neu. (in meinen Bundesland wird es wohl noch ein paar Jahre dauern, eh das hier ankommt ;) ) Aber es war ja nur ein Vorschlag. Und ich wollte keineswegs hier nur meinen Senf dazu geben, sondern würde auch dabei mitarbeiten / mithelfen (auch wenn ich keine Linuxmuster-Lösung einsetze, würde das gehen). Viele Grüße Hans-Dietrich Gruß Jürgen P.S.: Den Ansatz die Netztrennung in der Anwendungsschicht zu sichern anstelle in TCP/IP finde ich alles andere als OT ;-) Am 20.03.2015 um 07:35 schrieb Hans-Dietrich Kirmse: Hallo Tobias, die Argumentation in deiner Mail finde ich sehr überzeugend. Wenn man den Gedanken weiterspinnt, kommt man doch zu folgender Lösung: Problem ist doch, dass sich der Computer nicht dafür authentifizieren muss, im richtigen Netz zu sein. Aber wenn man statt richtigen Netz eben in der
Re: [lmn] Subnetting - Netzbrief - Umsetzung
Hallo Tobias, hallo ihr anderen :) Am 19.03.2015 um 01:58 schrieb T. Küchel t.kuec...@humboldt-ka.de: Am 18.03.2015 um 18:12 schrieb Jesko Anschütz: Hallo :) Am 18.03.2015 um 12:34 schrieb T. Küchel t.kuec...@humboldt-ka.de: Am 18.03.2015 um 12:11 schrieb Stefan linuxmuster: (...) Ok. NAS? Warum ein NAS, wenn man den Server hat? (...). Die Idee ist, dass das Netz so konfiguriert ist, dass der lehrer mit seinen Zugangsdaten aus dem Lehrerzimmer auf alles zugreifen kann, aus dem pädagogischen Netz aber nicht. Das hatte ich ja nicht vorgeschlagen. Mein Vorschlag war ja: verschiedene Homes/shares auf dem Server zu haben, von denen eines eben nur im Lehrerzimmer gemountet wird. Und ich bin mir sicher: ob NAS oder server-share-LZ-only: sicherheitstechnisch ist das identisch gut/schlecht. Daher kam meine Frage: Warum wird ein NAS empfohlen, wenn wir den Server haben? Das ist eben sicherheitstechnische nicht gleich gut... Gleich mehr dazu... (...) ALso NAS statt Server sehe ich nicht ein. Wenn der Server kompromittiert ist, ist es eh worst-case. Nein ist es nicht. Wenn das NAS im Lehrerzimmer steht, kann der Server kompromittiert sein wie er will. Unbefugter Zugriff erfolgt dann nur auf Arbeitsblätter und Übungsaufgaben, nicht aber auf Elternbriefe, Noten und Krankenakte. Wieso? Weil... Die Clients im LZ haben Zugriff auf das NAS. Der Server hat Zugriff auf die Clients im LZ. *Wenn* der server kompromittiert ist (ich meine damit root-rechte auf dem server), *sollte* root auch auf die clients und auch auf das NAS kommen. Einzige Hürde kann das persönliche Verschlüsseln sein. Das stimmt. Als root kann man sich dann über verschiedene erlaubte Zwischenstationen bis zum NAS durchhangeln. Aber man muss dann wissen, was man tut (kein Sicherheitsaspekt, ich weiß. Es macht nur das zufällige in die Hände geraten unwahrscheinlicher) Aaaber. Wenn *nur* ein Lehrer-Konto kompromittiert ist, kommt ein Angreifer von außen nur auf das Home_aus_Server, aber weder auf einen Client im LZ noch auf das angeschlossene NAS, *noch* auf ein server-share-LZ-only. ... Woher weiss der Server, dass er einen Lehrerzimmer-Rechner vor sich hat? -- IP-Adresse oder MAC-Adresse. Beides lässt sich leicht fälschen. Wenn du das NAS im Lehrerzimmer stehen hast, dann weiß schon der Switch, dass von dem Port aus niemand im Lehrerzimmernetz was verloren hat. Aber da Zugriffe aus allen VLANS auf den Server erlaubt sein müssen, ist das vom Unterrichtsraum aus nicht immer so... Und so ist meine Schlussfolgerung: Das was einfach konfiguriert werden kann ist im Zweifel einer komplexen Lösung vorzuziehen. Daher meine Schlussfolgerung, dass man ein NAS nicht braucht, wenn man den server entsprechend konfiguriert Wenn man da aber einen Fehler macht liegen die Daten offen. Das passiert bei einem NAS im geschützten Netz nicht. und ich frage mich, warum wir das nicht in linuxmuster.net (von mir aus optional) einbauen, dass man ein zusätzliches server-share-LZ-only für empfindliche Daten der Lehrer haben kann. Ich will kein NAS zusätzlich managen und backupen. Wenn du das NAS verwendest, wo der Server sein Backup drauf macht hast du kein zusätzliches. Das Backup könnte verschlüsselt auf dem Server liegen. Das ist aber jetzt aus dem Bauch geschossen , ob das NAS das kann weiß ich nicht. Ein server-share-LZ-only ist auch ein Network Attached Storage. Ja aber an einer Stelle im Netz wo theoretischer Zugriff von Clients möglich ist, auf die Schüler regelmäßig Zugriff haben. LG Jesko___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Subnetting - Netzbrief - Umsetzung
Hallo Tobias, Hier argumentierst du, dass man eine IP und MAC-Adresse fälschen kann (ok) *und* dass dann der Switch *und* der L3-Router den Angreifer durchlassen *und* dann eben durch gefälschte Daten vom Server angenommen werden. Gefühlsmäßig: Der VLAN Konfiguration traue ich das noch zu. Dem L3-Router nicht mehr. Aber wenn das ginge, dann ist das subnetting Konzept doch irgendwie hinfällig. Das kann ja jemand beantworten, der sich mit dem Szenario auskennt: Kann ein Rechner, der in Raum 5 stehen soll, also r005pc01 heißt und dementsprechende IP hat in Raum 2 angestöpselt werden und sich mit dem server (als r005pc01 verbinden) ? Also: ist das Netz richtig konfiguriert ist es nicht möglich, sich aus irgend einem anderen subnet als dem Lehrernetz dem server gegenüber als dem lehrernetz zugehörig aus zu geben. Beispiel: lehrerrechner 1 hat die MAC xx und die IP yy und ist in Subnet LZ Schüler mit Notebook ist in Subnet R155 (physikalisch, soll heißen: ihm stehen nur Dosen im R155 zur Verfügung keine im LZ), dann könnte er die MAC Adresse von lehrerrechner 1 fälschen und sich auch gleich die IP geben: trotzdem käme er nicht an das NAS, welches im Subnet LZ steht, weil weder L3 Switch noch Server ihn dort hin routen würden. Fälscht er nur die MAC, dann bekommt er in R155 eine IP vom DHCP aus dem für R155 vergebenen Lease: welches zumindest bei mir, garnichts darf: kein Serverzugriff und kein Internetzugriff. Das habe ich so schon überprüft, da es auch ein deutlciher Nachteil ist. Beispiel: ich habe in der Schule 40 Laptops: die sind naturgemäß transportabel und genau für diesen Zweck angeschafft. Verortet habe ich sie im Subnet NWT. Wenn ich so ein Laptop an einen Port hänge, der in einem anderen subnet ist, so kennt der Server zwar eigentlich die MAC Adresse und kennt eigentlich auch eine IP, die er ihm geben müßte: er macht es aber nicht, weil er in einem fremden Subnet ist. Bisher erscheint mir die Trennung Wasserdicht. VIele Grüße Holger -- Mein öffentlicher PGP-key ist hier hinterlegt: pool.sks-keyservers.net ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Subnetting - Netzbrief - Umsetzung
Hallo Tobias, Normalerweise wird sowas glaube ich über ACLs im Router geregelt, aber dann nicht auf Dateiebene, sondern maximal auf Ebene von Freigaben, was aber einiges an Arbeit sein dürfte. Leichter ist bestimmt die Freigabe auf Basis der IP-Adresse, wobei man dann den Login ausnehmen müsste...? ein zusätzliches Share auf dem Server, nur von IPs aus dem Lehrernetz mountbar, muss doch dem genügen. Eine IP kann man zwar faken, aber dank der subnetz-implementierung bringt die IP einem im falschen VLAN/subnetz nix mehr. .. das weiß ich nicht so genau. Im anderen post sagte ich ja: man käme von einen anderen Subnet nicht an das NAS des Lehrerzimmers. Ob man mit einer IP aus dem Lehrerzimmer, aber an einer Dose in einem anderen Subnet das Notenshare mounten kann, weiß ich nicht. Die Anfragen müßten schon am Server ankommen, da der Layer 3 Switch als Defaultroute immer den Server drin hat: den erreicht man, denke ich schon. Dann wäre also die Frage: wie stellt der Server sicher, dass die IP auch aus dem richtigen Subnet kommt .. VIele Grüße Holger -- Mein öffentlicher PGP-key ist hier hinterlegt: pool.sks-keyservers.net ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Subnetting - Netzbrief - Umsetzung
Hallo Alex, Es ist mir bewusst, dass dann der Kollege dran ist, weil er sich nicht an die Vorschriften gehalten hat, aber ich würde jede Wette eingehen, dass es so kommt. Daher habe ich für unsere Schule entschieden, dass es beim System von 2 Netzen bleibt, Verwaltungsnetz und pädagogisches Netz, was ja vom Netzbrief her auch akzeptiert wird. Es bleibt bei uns bei der Ansage: Noten etc. dürfen nicht gespeichert werden, höchstens im TrueCrypt-Container. Auch dagegen verstoßen die Kollegen massenhaft, sie laden sie sogar in ihre Dropbox etc. hoch. Aber: Auch hier ist ausschließlich der Kollege dran, ich nicht. Und was bin ich froh, dass ich kein Datenschutzbeauftragter sein kann Also kommen deine Kollegen ins Verwaltungsnetz? Hat da auch jeder einen Login? Das ist auch schwierig. ALs ich meinen Kollegen vor 4 Wochen die neue VwV zum Datenschutz in der GLK vortrug, vor allem der Teil mit ihr müßt gegenenfalls euren privaten Rechner zur einsichtnahme in die Schule bringen, gab es schon viel gemurre. Ein Kollege fragte, wo er den dann die NOten verarbeiten dürfe. Viel Wind aus dem Segel nahm ich durch erläutern des Lehrernetzes in dem wieder NOten verarbeitet werden dürfen. Meine Kollegen sahen das also am Ende als Service und nicht als Probelm. VIele Grüße Holger -- Mein öffentlicher PGP-key ist hier hinterlegt: pool.sks-keyservers.net ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Subnetting - Netzbrief - Umsetzung
Hallo Tobias, die Lehrkräfte speichern die sensiblen Daten entweder auf einem verschlüsselten USB Stick oder auf einem Speichermedium (NAS o.ä.), das nur aus dem Lehrkräftenetz zugänglich ist. So wird es auf den Fortbildungen für Datenschutzbeauftragte kommuniziert. Viele Grüße Stefan Am 18.03.2015 um 11:57 schrieb T. Küchel: Hallo Liste, hallo Holger, was mir an der Umsetzung des Netzbriefs mit Hilfe von Subnetting nicht ganz klar ist: Zitat zu Lehrernetz: Ein Zugriff durch Lehrkräfte vom Lehrernetz aus auf die Unterrichtsumgebung ist zulässig. Jeglicher Schülerzugriff auf das Lehrernetz ist unzulässig. Ein Zugriff vom Klassenzimmer aus auf dieses Netz ist zu verhindern. Im Lehrernetz darf ich also auf Tausch_auf_Server und Home_auf_Server zugreifen. Wo speichert der Lehrer jetzt seine Noten? Ich vermute in Home_auf_Server. Der letzte Satz sagt mir aber: Ein mounten von Home_auf_Server ist dann im Klassenzimmer zu vermeiden. Oder sieht das jemand anders? Oder realisiert das jemand anders? Ich kann mir zwei Homes vorstellen, ein Dienstliches Home und ein Schulisches Home 1. Z.B. so: dass Home_auf_Server nur noch im Lehrernetz zugänglich ist und im Paed.Netz automatisch Tausch_auf_Server/tausch-Kollegium/Lehrer/username als Home_auf_Server gemountet wird. 2. z.B. so: Home_auf_Server ist im Paed.Netz das Home, im Lehrernetz wird ein share des Verwaltungsnetzes als Home_auf_VWServer gemountet. Liegt vermutlich dann bei Vielen außerhalb der Administration(vor- und nachteil) Viele Grüße und danke fürs Mitdenken, Tobias ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Subnetting - Netzbrief - Umsetzung
Hallo Tobias, so oder so müssen die Daten verschlüsselt gespeichert werden, da kommt man nicht drum rum, außer mit dem NAS vielleicht. Aber dann müßte das NAS besonders gesichert aufgestellt sein: verschlossener Raum: wer hat einen Schlüssel? Das ganze muß so oder so im Verfahrensverzeichnis abgebildet werden un ddas dann wiederrum dem Datenschutzbeauftragten vorgelegt werden. Das subnet des Lehrerzimmers ist aus jedem Raum, der Zugang zu diesem Subnet hat, erreichbar: es ist also egal, ob man mehrere Lehrerzimmer hat: man pakt sie alle ins selbe Subnet. Dass die in den Datenschutzfortbildungen verschlüsseltes Speichern im Serverhome des Lehrers eher nicht empfehlen kann ich nach kurzem Nachdenken verstehen: ein Lehrer könnte dann ja auch außerhalb des Lehrerrechnerraumes den Container öffnen. Das darf er zwar nicht, aber .. so sind die Leute halt. Ich schu nur mal eben ... Also läßt man ein Speichern dort einfach nicht zu. Softwaretechnisch kann man Raumselektiv Netzlaufwerke verbinden lassen: dann ist sicher gestellt, dass si enur aus dem Lehrerrechnerraum auf das NAS kommen. von Hand verbinden des NAS von einem anderen Raum aus ist ja per subnet und ACL verhindert. VIele Grüße Holger -- Mein öffentlicher PGP-key ist hier hinterlegt: pool.sks-keyservers.net ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Subnetting - Netzbrief - Umsetzung
Hallo Stefan, vielleicht sollte ich mal selbst auf so eine FoBi gehen und nicht unseren Datenschutzbeauf... dahin schicken. Am 18.03.2015 um 12:11 schrieb Stefan linuxmuster: Hallo Tobias, die Lehrkräfte speichern die sensiblen Daten entweder auf einem verschlüsselten USB Stick oder auf einem Speichermedium (NAS o.ä.), das nur aus dem Lehrkräftenetz zugänglich ist. So wird es auf den Fortbildungen für Datenschutzbeauftragte kommuniziert. Ok. NAS? Warum ein NAS, wenn man den Server hat? Und wie stellt man sicher, dass das NAS sichtbar ist? Man muss es bei subnetting ins selbe Subnetz stellen, ... das ist ja quatsch, wenn man LZ-PCs in mehreren Räumen hat. ALso NAS statt Server sehe ich nicht ein. Wenn der Server kompromittiert ist, ist es eh worst-case. Da hilft es dann keinem, dass die Noten noch auf einem NAS liegen. Da die entsprechenden Clients an das NAS kommen, kommt der Serverangreifer auch auf das NAS. Bleiben truecrypt-USB-Sticks. Halte ich nciht für praktikabel, aber gut. Danke, Tobias Viele Grüße Stefan Am 18.03.2015 um 11:57 schrieb T. Küchel: Hallo Liste, hallo Holger, was mir an der Umsetzung des Netzbriefs mit Hilfe von Subnetting nicht ganz klar ist: Zitat zu Lehrernetz: Ein Zugriff durch Lehrkräfte vom Lehrernetz aus auf die Unterrichtsumgebung ist zulässig. Jeglicher Schülerzugriff auf das Lehrernetz ist unzulässig. Ein Zugriff vom Klassenzimmer aus auf dieses Netz ist zu verhindern. Im Lehrernetz darf ich also auf Tausch_auf_Server und Home_auf_Server zugreifen. Wo speichert der Lehrer jetzt seine Noten? Ich vermute in Home_auf_Server. Der letzte Satz sagt mir aber: Ein mounten von Home_auf_Server ist dann im Klassenzimmer zu vermeiden. Oder sieht das jemand anders? Oder realisiert das jemand anders? Ich kann mir zwei Homes vorstellen, ein Dienstliches Home und ein Schulisches Home 1. Z.B. so: dass Home_auf_Server nur noch im Lehrernetz zugänglich ist und im Paed.Netz automatisch Tausch_auf_Server/tausch-Kollegium/Lehrer/username als Home_auf_Server gemountet wird. 2. z.B. so: Home_auf_Server ist im Paed.Netz das Home, im Lehrernetz wird ein share des Verwaltungsnetzes als Home_auf_VWServer gemountet. Liegt vermutlich dann bei Vielen außerhalb der Administration(vor- und nachteil) Viele Grüße und danke fürs Mitdenken, Tobias ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Subnetting - Netzbrief - Umsetzung
Hallo, Stefan, Du meintest am 18.03.15: die Lehrkräfte speichern die sensiblen Daten entweder auf einem verschlüsselten USB Stick oder auf einem Speichermedium (NAS o.ä.), das nur aus dem Lehrkräftenetz zugänglich ist. So wird es auf den Fortbildungen für Datenschutzbeauftragte kommuniziert. Wird das tatsächlich so kommuniziert? Haben diese Datenschutzbeauftragten schon mal etwas von Zugriffsrechten auf Dateien gehört? Dass Zugriffsrechte auf externe Geräte oder Datenträger existieren, wissen sie ja asncheinend schon. Ok - wenn ich den Datenträger per USB anbinde, dann kann ich ihn nach Benutzung abklemmen, und damit ist dann der Zugriff durch Unbefugte sicher gesperrt. Aber dazu brauche ich kein NAS, was anscheinend vor allem ein werbewirksamer und verkaufsfördernder Aufkleber auf Geräten ist, die den einzigen (scheinbaren) Vorteil haben, dass sie per Mausklick administrierbar sind. (Ja - ich weiss: das hat wenig mit einem Schulserver zu tun ...) Viele Gruesse! Helmut ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Subnetting - Netzbrief - Umsetzung
Hallo, Am 18.03.2015 um 13:40 schrieb Helmut Hullen: Hallo, Stefan, Du meintest am 18.03.15: die Lehrkräfte speichern die sensiblen Daten entweder auf einem verschlüsselten USB Stick oder auf einem Speichermedium (NAS o.ä.), das nur aus dem Lehrkräftenetz zugänglich ist. So wird es auf den Fortbildungen für Datenschutzbeauftragte kommuniziert. Wird das tatsächlich so kommuniziert? Haben diese Datenschutzbeauftragten schon mal etwas von Zugriffsrechten auf Dateien gehört? Die Anforderungen des Netzbriefes allein über die üblichen Server-Zugriffsrechte zu machen, ist nicht ganz einfach! Dort heißt es ja normalerweise nur: Benutzer ist in der Gruppe teachers, also hat er Zugriff. Jetzt kommt aber noch hinzu: Benutzer ist in der Gruppe teachers und sitzt im Lehrerzimmer -- Zugriff Benutzer ist in der Gruppe teachers und sitzt im Unterrichtsraum -- Kein Zugriff. Normalerweise wird sowas glaube ich über ACLs im Router geregelt, aber dann nicht auf Dateiebene, sondern maximal auf Ebene von Freigaben, was aber einiges an Arbeit sein dürfte. Leichter ist bestimmt die Freigabe auf Basis der IP-Adresse, wobei man dann den Login ausnehmen müsste...? Alles ein Sch..., aber die Diskussion hatten wir ja schon. Grüße, Stefan ___ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
Re: [lmn] Subnetting - Netzbrief - Umsetzung
Hi Jesko, holger, Stefan, Helmut, ich antworte mal stellvertretend auf Jeskos Mail... danke für die Zuschriften! Am 18.03.2015 um 18:12 schrieb Jesko Anschütz: Hallo :) Am 18.03.2015 um 12:34 schrieb T. Küchel t.kuec...@humboldt-ka.de: Hallo Stefan, vielleicht sollte ich mal selbst auf so eine FoBi gehen und nicht unseren Datenschutzbeauf... dahin schicken. Am 18.03.2015 um 12:11 schrieb Stefan linuxmuster: Hallo Tobias, die Lehrkräfte speichern die sensiblen Daten entweder auf einem verschlüsselten USB Stick oder auf einem Speichermedium (NAS o.ä.), das nur aus dem Lehrkräftenetz zugänglich ist. So wird es auf den Fortbildungen für Datenschutzbeauftragte kommuniziert. Ok. NAS? Warum ein NAS, wenn man den Server hat? Es muss kein NAS sein. Der Hintergrund ist, dass es ein Speicher sein soll, auf den man außerhalb des Lehrerzimmers nicht zugreifen können soll. Wenn ein Lehrer sich das Passwort stehlen lässt, nutzt nämlich Verschlüsselung in ServerHOme nur noch bedingt was. Die Idee ist, dass das Netz so konfiguriert ist, dass der lehrer mit seinen Zugangsdaten aus dem Lehrerzimmer auf alles zugreifen kann, aus dem pädagogischen Netz aber nicht. Das hatte ich ja nicht vorgeschlagen. Mein Vorschlag war ja: verschiedene Homes/shares auf dem Server zu haben, von denen eines eben nur im Lehrerzimmer gemountet wird. Und ich bin mir sicher: ob NAS oder server-share-LZ-only: sicherheitstechnisch ist das identisch gut/schlecht. Daher kam meine Frage: Warum wird ein NAS empfohlen, wenn wir den Server haben? Und wie stellt man sicher, dass das NAS sichtbar ist? Man muss es bei subnetting ins selbe Subnetz stellen, ... das ist ja quatsch, wenn man LZ-PCs in mehreren Räumen hat. Nein. Entweder alle sind im selben subnetz oder die ACL auf dem Router / L3-Switch erlauben Zugriffe zwischen den Lehrernetzen. Ok. Das ist ja dann einfacher als ich dachte, also kein Problem mehr. ALso NAS statt Server sehe ich nicht ein. Wenn der Server kompromittiert ist, ist es eh worst-case. Nein ist es nicht. Wenn das NAS im Lehrerzimmer steht, kann der Server kompromittiert sein wie er will. Unbefugter Zugriff erfolgt dann nur auf Arbeitsblätter und Übungsaufgaben, nicht aber auf Elternbriefe, Noten und Krankenakte. Wieso? Die Clients im LZ haben Zugriff auf das NAS. Der Server hat Zugriff auf die Clients im LZ. *Wenn* der server kompromittiert ist (ich meine damit root-rechte auf dem server), *sollte* root auch auf die clients im LZ und auch auf das NAS kommen. Einzige Hürde kann das persönliche Verschlüsseln sein. Wenn *nur* ein Lehrer-Konto kompromittiert ist, kommt ein Angreifer von außen nur auf das Home_aus_Server, aber weder auf einen Client im LZ noch auf das angeschlossene NAS, *noch* auf ein server-share-LZ-only. Daher meine Schlussfolgerung, dass man ein NAS nicht braucht, wenn man den server entsprechend konfiguriert und ich frage mich, warum wir das nicht in linuxmuster.net (von mir aus optional) einbauen, dass man ein zusätzliches server-share-LZ-only für empfindliche Daten der Lehrer haben kann. Ich will kein NAS zusätzlich managen und backupen. Ein server-share-LZ-only ist auch ein Network Attached Storage. Da hilft es dann keinem, dass die Noten noch auf einem NAS liegen. Doch. Siehe oben. Bin ich nicht der Meinung. s.o. Da die entsprechenden Clients an das NAS kommen, kommt der Serverangreifer auch auf das NAS. Nur wenn sie sich im Lehrerzimmer befinden. Das ist idealerweise Aber nur mit einem Schlüssel zu betreten. s.o. Bleiben truecrypt-USB-Sticks. Halte ich nciht für praktikabel, aber gut. Auch gut. Aber weniger komfortabel als (verschlüsselt oder nicht) auf den NAS USB-Sticks sind insofern weniger sicher, als die bequemen Lehrer, wie Holger schrieb, mal-eben-schnell doch noch auf die Daten im Comptuerraum zugreifen können. Wenn die Daten nur auf dem server-share-LZ-only liegen, geht das nicht. LG Jesko Danke, Tobias Viele Grüße Stefan Am 18.03.2015 um 11:57 schrieb T. Küchel: Hallo Liste, hallo Holger, was mir an der Umsetzung des Netzbriefs mit Hilfe von Subnetting nicht ganz klar ist: Zitat zu Lehrernetz: Ein Zugriff durch Lehrkräfte vom Lehrernetz aus auf die Unterrichtsumgebung ist zulässig. Jeglicher Schülerzugriff auf das Lehrernetz ist unzulässig. Ein Zugriff vom Klassenzimmer aus auf dieses Netz ist zu verhindern. Im Lehrernetz darf ich also auf Tausch_auf_Server und Home_auf_Server zugreifen. Wo speichert der Lehrer jetzt seine Noten? Ich vermute in Home_auf_Server. Der letzte Satz sagt mir aber: Ein mounten von Home_auf_Server ist dann im Klassenzimmer zu vermeiden. Oder sieht das jemand anders? Oder realisiert das jemand anders? Ich kann mir zwei Homes vorstellen, ein Dienstliches Home und ein Schulisches Home 1. Z.B. so: dass Home_auf_Server nur noch im Lehrernetz zugänglich ist und im Paed.Netz automatisch