Verwaltungsnetz und Schulnetz trennen?

Wir trennen per Kabeltrennung. Anschluss Verwaltungsnetz ans Internet ist nicht mein Aufgabengebiet. Dafür
müssten Datenschutzbestimmungen und vor allem Sicherheitsvorkehrungen in dynamischer Weise eingehalten werden.
Ich möchte meinen Kopf nicht dafür hinhalten. Außerdem kann man vieles ja auch per Stick vom Verwaltungsnetz
zu einem Internet-Rechner transportieren.

Mit freundl. Grüßen
vom Ratsgymnasium Minden

Manfred Kresse

Post by JÃ¶rg Fiebig
Hallo,
"Über die Trennung von Unterrichtsnetz und Verwaltungsnetz bestehen noch
Unklarheiten. Die physikalische Trennung der Netze ist jedoch nicht mehr
im Gespräch. Jedoch muss sichergestellt werden, dass Schüler niemals auf
die Verwaltungsdaten Zugriff erlangen können."
http://tac.sn.schule.de/index.php?name=News&file=article&sid=47
...und wie ist das zu realisieren?
Es gibt Typen, die hacken sich bei der Nato oder im Pentagon ein.
aber: "muss sichergestellt werden, dass Schüler niemals"
Tja, wir sind eben besser als alle Sicherheitsexperten von FBI, CIA,
BND, Mosad und dem Inlandsgeheimdienst der GUS-Staaten, oder? ;-)
--
MfG J. Fiebig
http://www.Erzgebirgskolleg.de
http://www.Fortbildung.istnichtdumm.de
http://www.Arktur.hatdichlieb.de
-------------------------------------------------------------------------
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Jörg Fiebig

2006-02-28 20:25:16 UTC

Hallo Manfred,

voll meine Meinung

leider bräuchte ich Bundesvorschriften oder Vorschriften des Landes
Sachsen, die diese Meinung (mehr ist es so leider nicht) hart
untermauern!

--
MfG J. Fiebig
http://www.Erzgebirgskolleg.de
http://www.Fortbildung.istnichtdumm.de
http://www.Arktur.hatdichlieb.de

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Helmut Hullen

2006-02-28 20:53:00 UTC

Hallo, Jörg,

Post by JÃ¶rg Fiebig
leider bräuchte ich Bundesvorschriften oder Vorschriften des Landes
Sachsen, die diese Meinung (mehr ist es so leider nicht) hart
untermauern!

Wieso?
Bist Du Administrator des Verwaltungsnetztes und somit aich
verpflichtet, personenbezogene Daten sauber zu schützen?

Oder bist Du Administrator des pädagogischen Netzes, in dem keine
personenbezogenen Daten liegen müssen?

Selbst ein Lehrer muss nicht für alles seinen Kopf hinhalten.

Viele Gruesse!
Helmut

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Ralf Jahn

2006-02-28 20:34:31 UTC

Hallo Jörg,

JörgFiebig schrieb am 2006-02-28 - 21:08:19 Uhr
Ursprünglicher Betreff: [SN] Verwaltungsnetz und Schulnetz trennen?
----------------------------------------

Das ganze Projekt ist m.E. Irrsinn. Es gibt einen ganzen Markt an ordentlicher Schulverwaltungs-
software. Aber WIR IN SACHSEN können das natürlich besser.
Außerdem habe ich stärkste Bedenken seitens Datenschutz, denn was von den Daten aus dem Programm
in Dresden/Kamenz oder eo auch immer landet, entzieht sich natürlich meiner Kenntnis.
Aber, wir müssen ja nicht alles mitmachen und sind da wohl deutlich besser dran als andere im Freistaat;-))).
Haben die in Dresden auch mal dran gedacht, das (falls per VWV der Einsatz von SaxSVS gefordert wird),
auch ne Menge Jobs den Bach runtergehen werden? Aber im KuMi und den nachgeordneten Beörden gibts
dann ja wieder Platz für Abordnungen von LEHRERN.
----------------------------------------
Viele Gruesse
Ralf Jahn
ralf-oG1JPImR+***@public.gmane.org

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Ralf Jahn

2006-02-28 20:37:31 UTC

Hallo Jörg,

JörgFiebig schrieb am 2006-02-28 - 21:25:16 Uhr
Ursprünglicher Betreff: Re: [SN] Verwaltungsnetz und Schulnetz trennen?
----------------------------------------

Post by JÃ¶rg Fiebig
Hallo Manfred,

voll meine Meinung
leider bräuchte ich Bundesvorschriften oder Vorschriften des Landes
Sachsen, die diese Meinung (mehr ist es so leider nicht) hart
untermauern!

Dann würde ich an Deiner STelle einfach warten, bis du vom Dienstvorgesetzten/RSA/KuMi
die entsprechende VWV bekommst (und die _wird_ kommen oder das Projekt stirbt)

----------------------------------------
Viele Gruesse
Ralf Jahn
ralf-oG1JPImR+***@public.gmane.org

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Jörg Fiebig

2006-02-28 20:43:24 UTC

Hallo Ralf ,

Post by Ralf Jahn
Dann würde ich an Deiner STelle einfach warten, bis du vom Dienstvorgesetzten/RSA/KuMi
die entsprechende VWV bekommst (und die _wird_ kommen oder das Projekt stirbt)

ich hab am SA die nächste Schulleiterfortbildung (also ich mach
Grundlagenausbildung PC für Schulleiter in Vorbereitung SaxSVS) - da
wollte ich auf diese Seite hinweisen, weil die immer was über SaxSVS
wissen wollen. Ein paar klare harte sächs. (bundes) Regelungen wären da
hilfreich.

Was ist eine VWV (VerWaltungsVorschrift?)?

--
MfG J. Fiebig
http://www.Erzgebirgskolleg.de
http://www.Fortbildung.istnichtdumm.de
http://www.Arktur.hatdichlieb.de

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Maximilian S.

2006-02-28 20:55:58 UTC

Nun, man kann das auch relaxt interpretieren, dass jemand tatsächlich
so schlau war und herausgefunden hat, dass es mittlerweile
Internetrouter gibt, die einen Anschluss in einem Router physikalisch
auf zwei getrennte Netze aufsplitten können und in Hardware
sicherstellen, dass die Netze nicht kommunizieren. Man spart also
Kosten beim Anschluss (andere Länder brauchen auch 2 DSL etc.
Anschlüsse) und beim Internetrouter (man braucht nur einen), bei
gleicher Sicherheit.

Viele Grüße, Maximilian.

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Jörg Fiebig

2006-02-28 21:01:38 UTC

Hallo Maximilian

Post by Maximilian S.
Nun, man kann das auch relaxt interpretieren, dass jemand tatsächlich
so schlau war und herausgefunden hat, dass es mittlerweile
Internetrouter gibt, die einen Anschluss in einem Router physikalisch
auf zwei getrennte Netze aufsplitten können und in Hardware
sicherstellen, dass die Netze nicht kommunizieren.

Bezeichnung?

Datenblattadresse?

bitte,bitte!

Danke!

--
MfG J. Fiebig
http://www.Erzgebirgskolleg.de
http://www.Fortbildung.istnichtdumm.de
http://www.Arktur.hatdichlieb.de

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Maximilian S.

2006-02-28 22:19:11 UTC

Hallo Jörg

Hier findest Du eine Liste mit zertifizierten Routern https://
newlabs.icsalabs.com/icsa/product.php?tid=fghhf456fgh

In obiger Liste findest Du verschiedene Modelle. Die
Sicherheitszertifizierung gewährt Dir eine geprüfte Firewall. Als
nächstes muss man aus der Liste ein Router aussuchen, der auch einen
gemanagten Switch enthält. Beides Zusammen bringt die gewünschte
Funktionalität.

Empfehlen kann ich jetzt direkt keinen. Wir haben einmal netopia
angeschaut und das wäre passend gewesen (die Hardware ist überall
angeblich gleich, nur durch die Software/Firmware limitiert) und so
hätten wir die gewünschte Funktionalität auf Nachfrage für einen WLAN
Router bekommen (war halt nicht von der Stange). Leider hat man dann
doch entschieden, bei der totalen Trennung zu bleiben und aus dem
Deal wurde nichts. Nochmal nachfragen kostet aber auch heute noch
nichts :-) Der damalige Router war ein Cayman 3500 mit Enterprise
Firmware, b+g WLAN Standard + 4 port gemanagter Switch integriert.

viele Grüße, Maximilian.

Post by JÃ¶rg Fiebig
Hallo Maximilian

Bezeichnung?
Datenblattadresse?
bitte,bitte!
Danke!
--
MfG J. Fiebig
http://www.Erzgebirgskolleg.de
http://www.Fortbildung.istnichtdumm.de
http://www.Arktur.hatdichlieb.de
----------------------------------------------------------------------
---
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Jörg Fiebig

2006-03-01 18:55:52 UTC

Hallo Maximilian,

Post by Maximilian S.
Hier findest Du eine Liste mit zertifizierten Routern https://
newlabs.icsalabs.com/icsa/product.php?tid=fghhf456fgh
In obiger Liste findest Du verschiedene Modelle. Die
Sicherheitszertifizierung gewährt Dir eine geprüfte Firewall. Als
nächstes muss man aus der Liste ein Router aussuchen, der auch einen
gemanagten Switch enthält. Beides Zusammen bringt die gewünschte
Funktionalität.
Empfehlen kann ich jetzt direkt keinen.

naja - ich kann mir da nicht direkt was draus nehmen
Also einen Firewall-Router mit mind. 2 Port-Switch, der die beiden
Netze trennt.
Wenn Du da mal drei Vorschläge machen könntest ...

--
MfG J. Fiebig
http://www.Erzgebirgskolleg.de
http://www.Fortbildung.istnichtdumm.de
http://www.Arktur.hatdichlieb.de

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Juergen Obermeyer

2006-02-28 22:38:34 UTC

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

N'Abend!

Sagt mal, kann es sein, dass ich hier im falschen Film bin? Nachdem ich
mich mühsam durch einen Thread gequält habe (weil ich das Thema ja
eigentlich interessant finde), in dem es von kryptischen Abkürzungen à

Zwei Netze, die beide am Internet hängen und nicht kommunizieren? Wie
soll das denn gehen?

Verwundert ins Bett geht

Jürgen

(und hofft, morgen in ausgeschlafenem Zustand mehr zu verstehen)

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)

iD8DBQFEBNDqCxw7w9obWdIRAvYTAKDE8Z9h9fZ8zwnYLDhVCRoDVrqdogCghTiD
BfEQJUXwRPjAH23gqMeOAWY=
=abcR
-----END PGP SIGNATURE-----

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Peter Merdian

2006-03-01 10:33:51 UTC

Subject: Re: Verwaltungsnetz und Schulnetz trennen?
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Zwei Netze, die beide am Internet hängen und nicht kommunizieren? Wie
soll das denn gehen?

VPN ist das Stichwort (verschluesselte Datenverbindungen zwischen
Routern). In B-W machen wir im Rahmen des BelWue solche Anbindungen
der Schulverwaltungen. Die Kommunikation zwischen beiden Netzen
erfolgt dann ueber Mail oder ggf. http/https. Letzteres ist nur
ausgehend im Schulverwaltungsnetz freigeschaltet. Ansonsten sorgen
private IP-Adressen, Proxys und Firewalls fuer die Abschottung auf
IP-Ebene zwischen den beiden Netzen.

Viele Gruesse,
--
-- Peter Merdian, BelWue-Koordination ---------- Tel: 0711/685-5804 --
Universitaet Stuttgart Fax: 0711/678-8363
Allmandring 3A, 70550 Stuttgart Schul-Anschluss: 01803/235983

Verwundert ins Bett geht
Jürgen
(und hofft, morgen in ausgeschlafenem Zustand mehr zu verstehen)
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)
iD8DBQFEBNDqCxw7w9obWdIRAvYTAKDE8Z9h9fZ8zwnYLDhVCRoDVrqdogCghTiD
BfEQJUXwRPjAH23gqMeOAWY=
=abcR
-----END PGP SIGNATURE-----
-------------------------------------------------------------------------
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de
-- End of excerpt from Juergen Obermeyer

Frank Wein

2006-03-01 11:42:31 UTC

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Post by Juergen Obermeyer
Zwei Netze, die beide am Internet hängen und nicht kommunizieren?
Wie soll das denn gehen?

VPN ist das Stichwort (verschluesselte Datenverbindungen zwischen
Routern).

Hier ist wohl eher VLAN als Stichwort gemeint. Es gibt mehrere Ports am
Router (Switch) und diese Ports sind ggf. mehreren VLANs zugeordnet. Und
diese VLANs können (normalerweise, man kann natürlich die Konfiguration
im Router ändern ;) nicht miteinander kommunizieren, nur der Router hat
dann wieder Zugriff auf beide VLANs und routet dann Anfragen ans
Internet weiter.

Gruß
Frank

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (MingW32)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFEBYinaT2V74kAr9URAmJjAJ9DT3FM+fH27oDOxPRBBhfbny3cIACdF/0t
ZFtMPjtscAoeE+gGkXzcunU=
=pFSB
-----END PGP SIGNATURE-----

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Philipp Flesch

2006-03-01 11:40:42 UTC

Hallo!

Post by Frank Wein

Post by Peter Merdian
VPN ist das Stichwort (verschluesselte Datenverbindungen zwischen
Routern).

ne, auch vpn ist eine idee!
Damit kann man z.B. das Schulnetz als Transfernetz nutzen ... muss aber
professionell eingerichtet werden

Philipp

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Axel Morawietz

2006-03-01 11:46:17 UTC

Hallo,

Post by Frank Wein
Hier ist wohl eher VLAN als Stichwort gemeint. Es gibt mehrere Ports am
Router (Switch) und diese Ports sind ggf. mehreren VLANs zugeordnet. Und
diese VLANs können (normalerweise, man kann natürlich die Konfiguration
im Router ändern ;) nicht miteinander kommunizieren, nur der Router hat
dann wieder Zugriff auf beide VLANs und routet dann Anfragen ans
Internet weiter.

Das ist schon VPN.
Der Router der Schulverwaltung sitzt hinter einem DSL-Router an dem auch
das Schulnetz hängt. (Beides Cisco-Geräte). Der Router der
Schulverwaltung erstellt nun ein VPN zu Belwue. Dort liegen auch die
"offiziellen" Schulpostfächer. Ferner ist für die Schulverwaltung ein
geischerter Internetzugang möglich. Mailverkehr funktioniert allerdings
nur ab / bis Belwue-Mailserver.

Post by Philipp Flesch
ne, auch vpn ist eine idee!
Damit kann man z.B. das Schulnetz als Transfernetz nutzen ... muss aber
professionell eingerichtet werden

Die Router werden von Belwue konfiguriert und dann an die Schulen versandt.

Mit freundlichen Grüßen
Axel Morawietz

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Maximilian S.

2006-03-01 20:22:37 UTC

Wow, was haben wir da nur für ein Thema losgetreten ...

Post by Frank Wein

Post by Juergen Obermeyer
Zwei Netze, die beide am Internet hängen und nicht kommunizieren?
Wie soll das denn gehen?

VPN ist das Stichwort (verschluesselte Datenverbindungen zwischen
Routern).

Also in meiner ursprünglichen E-Mail zu den Routern die das technisch
könnten, ist tatsächlich VLAN gemeint.
Deswegen muss auch im Router ein gemanagter Switch enthalten sein.
Zusätzlich muss aber auch die Firewall was taugen! Hierzu hatte ich
die Liste mit Zertifizierungen angegeben.

Denn: Ein VPN ist zwar sicher, hilft aber gar nichts, wenn der Router
gehackt wird.
Bei der angegebenen Liste, werden die Router genau daraufhin geprüft
und zertifiziert.
Ein derartiger Router gilt als Einbruchsicher für die Änderung der
Konfiguration am Router
(sie sagt nichts darüber aus, ob die Firewall richtig durch den Admin
konfiguriert wird :-) )

Ergo: Mit einem sicheren Router (lässt sich nicht in der Konfig
ändern, arbeitet als Black-Box) + gemanagten Switch, erhält man
tatsächlich zwei physikalisch getrennte Netze, denn jeder
Ethernetanschluss im Router wird durch die Hardware von den anderen
Anschlüssen getrennt. Das reicht um physikalische Trennung auf allen
OSI Ebenen zu gewährleisten.

Jetzt kann man physikalische Trennung natürlich noch weiter treiben,
mit separater Hardware, damit schiesst man aber m.M. über das Ziel
hinaus. Aber es ist wie so oft: erzählt man Entscheidern etwas von
Technik, verhalten sie sich wie Hunde beim Fernsehen: hören
aufmerksam zu und verstehen gar nichts :-) Also kauft man lieber
alles doppelt, sicher ist sicher. Mich stört es nicht, es hat auch
Vorteile im Management und die Industrie freut's eh.

viele Grüße, Maximilian.

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Peter Merdian

2006-03-01 20:57:32 UTC

Hallo Maximilian,

das Problem mit VLANs ist, dass in der Vergangenheit Hacker
den Verkehr von "fremden" VLANs mithorchen konnten. Dies
betraff damals Switche von Cisco. Seither traue ich VLANs
nicht mehr (obwohl der Bug bei Cisco in neueren Switchen
sicherlich nicht mehr existiert). D.h. bei hochkritischen
Anwendungen (sei es der Betrieb von AKWs oder eine Schul-
verwaltung) ist eine separate Kabelinfrastruktur und eine
zusaetzliche Verschluesselung vorteilhaft. Bei EDV-Sicherheit
sprechen wir am Ende von einem Restrisiko, das durch obige
Massnahmen (die nicht sehr teuer sind) etwas verringert wird.

Viele Gruesse,
--
-- Peter Merdian ------------------------- mailto:merdian-9ex3EfVGP56zQB+***@public.gmane.org --
BelWue-Koordination Tel: 0711/685-5804
Universitaet Stuttgart Fax: 0711/678-8363
-- Allmandring 3A, 70550 Stuttgart ---------- http://www.belwue.de/ --

Subject: Re: Verwaltungsnetz und Schulnetz trennen?
Wow, was haben wir da nur für ein Thema losgetreten ...

Post by Frank Wein

Post by Juergen Obermeyer
Zwei Netze, die beide am Internet hängen und nicht kommunizieren?
Wie soll das denn gehen?

VPN ist das Stichwort (verschluesselte Datenverbindungen zwischen
Routern).

Also in meiner ursprünglichen E-Mail zu den Routern die das technisch
könnten, ist tatsächlich VLAN gemeint.
Deswegen muss auch im Router ein gemanagter Switch enthalten sein.
Zusätzlich muss aber auch die Firewall was taugen! Hierzu hatte ich
die Liste mit Zertifizierungen angegeben.
Denn: Ein VPN ist zwar sicher, hilft aber gar nichts, wenn der Router
gehackt wird.
Bei der angegebenen Liste, werden die Router genau daraufhin geprüft
und zertifiziert.
Ein derartiger Router gilt als Einbruchsicher für die Änderung der
Konfiguration am Router
(sie sagt nichts darüber aus, ob die Firewall richtig durch den Admin
konfiguriert wird :-) )
Ergo: Mit einem sicheren Router (lässt sich nicht in der Konfig
ändern, arbeitet als Black-Box) + gemanagten Switch, erhält man
tatsächlich zwei physikalisch getrennte Netze, denn jeder
Ethernetanschluss im Router wird durch die Hardware von den anderen
Anschlüssen getrennt. Das reicht um physikalische Trennung auf allen
OSI Ebenen zu gewährleisten.
Jetzt kann man physikalische Trennung natürlich noch weiter treiben,
mit separater Hardware, damit schiesst man aber m.M. über das Ziel
hinaus. Aber es ist wie so oft: erzählt man Entscheidern etwas von
Technik, verhalten sie sich wie Hunde beim Fernsehen: hören
aufmerksam zu und verstehen gar nichts :-) Also kauft man lieber
alles doppelt, sicher ist sicher. Mich stört es nicht, es hat auch
Vorteile im Management und die Industrie freut's eh.
viele Grüße, Maximilian.
-------------------------------------------------------------------------
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de
-- End of excerpt from Maximilian S.

Marcel Noe

2006-03-03 09:18:28 UTC

Post by Maximilian S.
Also in meiner ursprünglichen E-Mail zu den Routern die das technisch
könnten, ist tatsächlich VLAN gemeint.

Oh, vorsicht: VLANs sind ein Management-Feature, KEIN Sicherheits-Feature,
das wird dir jeder Switch-Hersteller bestätigen. Gerade beim Booten des
Switches ist nicht gewährleistet, dass der Switch die Vlans sicher trennt.
Davon abgesehen ist die Defaulteinstellung aller mit bekannten Switche ein
ungetrenntes Netz, d.h. bei Verlust der Switchkonfiguration durch Schäden
am NVRAM* wären die Netze verbunden.

Post by Maximilian S.
Denn: Ein VPN ist zwar sicher, hilft aber gar nichts, wenn der Router
gehackt wird.

Richtig.

Post by Maximilian S.
Ergo: Mit einem sicheren Router (lässt sich nicht in der Konfig
ändern, arbeitet als Black-Box) + gemanagten Switch, erhält man
tatsächlich zwei physikalisch getrennte Netze, denn jeder
Ethernetanschluss im Router wird durch die Hardware von den anderen
Anschlüssen getrennt.

Oh. Ich dachte die Begriffe Sicherheit und Black-Box wären zueinander
orthogonal? Beachte bitte, dass in der Firewalling Software des Routers mit
absoluter Sicherheit Programmierfehler enthalten sind, und du zumindest
in der Lage sein musst, Sicherheitsupdates einzuspielen.

Post by Maximilian S.
Das reicht um physikalische Trennung auf allen
OSI Ebenen zu gewährleisten.

Physikalische Trennung auf allen OSI Layern? ;-) Eine Physikalische Trennung
wäre eine Trennung auf Layer 1 und ich behauptet, dass du diese gerade nicht
hast. :)

Post by Maximilian S.
Jetzt kann man physikalische Trennung natürlich noch weiter treiben,
mit separater Hardware, damit schiesst man aber m.M. über das Ziel
hinaus.

Das ist auch eine Kostenfrage. VLAN fähige Switches sind immer noch deutlich
teurer, als ihre dummen Artverwandten. Irgendwie finde ich den Gedanken
unattraktiv, mehr Geld für weniger Sicherheit auszugeben. Bei komplett
getrennter Netzwerkhardware hast du wenigstens die Sicherheit, dass bei einem
Fehlverhalten der Hardware die Netze trotzdem getrennt bleiben. Und von dem
Geld, dass du an den Switches sparst kannst du mindestens 2 Jahre lang eine
DSL Flatrate finanzieren.

* Falls gewünscht kann ich gerne die ein odere andere Switch-VLAN-Horrorstory
erzählen.

Gruss Marcel

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Frank Wein

2006-03-03 10:36:57 UTC

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Post by Maximilian S.
Also in meiner ursprünglichen E-Mail zu den Routern die das technisch
könnten, ist tatsächlich VLAN gemeint.

Das wären dann aber Probleme, die seehr unwahrscheinlich sind (und
genauso häufig bei entsprechenden anderen Sicherheitslösungen auftreten
können, also sehr sehr selten bis gar nicht). Auch warte ich immer noch
auf einen Beweis für diese Reboot These, vielleicht gab es mal vor ein
paar Jahren irgendeinen Switch der damit ein Problem hatte, aber
ansonsten finde ich im Usenet diese Behauptung immer nur von den selben
zwei bis drei Personen wiederholt ;). Wir reden hier ja hoffentlich von
aktuellen Switch Modellen. Ansonsten klar, physikalische Trennung ist
immer besser wenn man genügend Geld und Platz und es auch praktikabel ist.

Gruß
Frank
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (MingW32)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFECBxJaT2V74kAr9URAtSxAJ93bZ+b9JNLfBIVBMG/aXtjJ9tUiACgiGz6
XDs3txuXI+rLdwtUX6PAAfc=
=K0N1
-----END PGP SIGNATURE-----

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Marcel Noe

2006-03-03 12:55:30 UTC

Post by Frank Wein
Das wären dann aber Probleme, die seehr unwahrscheinlich sind (und
genauso häufig bei entsprechenden anderen Sicherheitslösungen auftreten
können, also sehr sehr selten bis gar nicht).

Na ja, wir (Studentenwohnheim, >840 Ports) verlieren im Schnitt alle zwei
Jahre einen Switch durch beschädigte NVRAMS (meistens in Folge von
Überspannung). Und das sind mit Sicherheit keine Billigprodukte (AVAYA P334
für > 1200 Euro das Stück). Das blöde daran ist, dass der Switch ohne NVRAM
in den Auslieferungszustand bootet, in der er einfach die Daten aller VLANS
(leider auch den Management und SNMP Traffic) fröhlich durch die Landschaft
verteilt.

Post by Frank Wein
Auch warte ich immer noch
auf einen Beweis für diese Reboot These, vielleicht gab es mal vor ein
paar Jahren irgendeinen Switch der damit ein Problem hatte, aber
ansonsten finde ich im Usenet diese Behauptung immer nur von den selben
zwei bis drei Personen wiederholt ;).

Hmm, spontan fallen mir da die ganzen billig-Switches von Netgear und Linksys
ein. Aber du hast Recht, konkrete Modelle kann ich dir nicht nennen. Dafür
macht der Netgear Switch allerhand andere lustige Dinge, die man so nicht
erwarten würde.

Gruss Marcel

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Reinhold Dorn

2006-03-03 13:27:15 UTC

Hallo Marcel,

Post by Marcel Noe
ein. Aber du hast Recht, konkrete Modelle kann ich dir nicht nennen. Dafür
macht der Netgear Switch allerhand andere lustige Dinge, die man so nicht
erwarten würde.

da wir durch Ausschreibung auch zu Netgear (unmanaged) gekommen sind,
würde mich interessieren, welche lustigen Dinge das sind - man möchte ja
vorgewarnt sein ;)

--
Viele Grüße

Reinhold Dorn

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Marcel Noe

2006-03-03 14:06:04 UTC

Post by Reinhold Dorn
da wir durch Ausschreibung auch zu Netgear (unmanaged) gekommen sind,
würde mich interessieren, welche lustigen Dinge das sind - man möchte ja
vorgewarnt sein ;)

Ein paar Beispiele:

- Der Switch wird langsam, wenn er viele ARP Pakete erhält. Und zwar so
langsam, dass man das management Interface nicht benutzen kann.

- Ändern der VLAN Einstellung von Port 23(!) führten reproduzierbar zum
Absturz des Switches.

- Pakete die von oder zu der IP des Switches gesendet werden, werden vom
Switch auf alle Ports(!) gesendet. Das ist besoners bitter, wenn man
bedenkt, dass die Passwörter im Klartext übertragen werden.

- Spielt man Konfigurationsbackups mit einem Browser unter Linux wieder ein,
dann ist das Passwort kaputt und man kann sich nichtmehr einloggen.
Wiederaufspielen von Windows aus geht. (Ist glaubich in der aktuellen
Firmwareversion behoben).

Und hier der Dauerbrenner: Auf meinen Bugreport hin rief mich jemand von
Netgear an, und fragte ob er einen Auszug unseres Netzwerktraffics haben
könnte. Ich frage, ob es ok ist, wenn ich ihm einen tcpdump schickte.
Der Dialog:

Netgear Support: "Nein, tut mir leid, das können wir nicht lesen. Bitte
schicken sie uns ein Etherreal File".
Ich: "Ok. Als bzip2?".
Netgear Support: "Nein, das können wir auch nicht lesen. Bitte schicken
sie uns das als ZIP Datei".
Ich: "Oh, sie verwenden Windows?"
Netgear Support: "Natürlich. Wir sind Netgear, was erwarten Sie?"

Gruss Marcel

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Reinhold Dorn

2006-03-03 14:13:55 UTC

Hallo Marcel,

Post by Marcel Noe
- Der Switch wird langsam, wenn er viele ARP Pakete erhält. Und zwar so
langsam, dass man das management Interface nicht benutzen kann.
- Ändern der VLAN Einstellung von Port 23(!) führten reproduzierbar zum
Absturz des Switches.
- Pakete die von oder zu der IP des Switches gesendet werden, werden vom
Switch auf alle Ports(!) gesendet. Das ist besoners bitter, wenn man
bedenkt, dass die Passwörter im Klartext übertragen werden.
- Spielt man Konfigurationsbackups mit einem Browser unter Linux wieder ein,
dann ist das Passwort kaputt und man kann sich nichtmehr einloggen.
Wiederaufspielen von Windows aus geht. (Ist glaubich in der aktuellen
Firmwareversion behoben).

da muss ich wohl froh sein, dass unser Teil nicht managebar ist ;)

Post by Marcel Noe
Ich: "Oh, sie verwenden Windows?"
Netgear Support: "Natürlich. Wir sind Netgear, was erwarten Sie?"

wie war das mit dem Tellerrand ?

--
Viele Grüße

Reinhold Dorn

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Maximilian S.

2006-03-03 10:55:04 UTC

Hallo Marcel,

Post by Marcel Noe
Oh, vorsicht: VLANs sind ein Management-Feature, KEIN Sicherheits-
Feature,
das wird dir jeder Switch-Hersteller bestätigen. Gerade beim Booten des
Switches ist nicht gewährleistet, dass der Switch die Vlans sicher trennt.
Davon abgesehen ist die Defaulteinstellung aller mit bekannten
Switche ein
ungetrenntes Netz, d.h. bei Verlust der Switchkonfiguration durch Schäden
am NVRAM* wären die Netze verbunden.

Stimmt, daher meine e-Mail GANZ GENAU lesen! Das ist nur sicher, wenn
der Router auch in der Konfiguration sicher ist!
Daher die Zertifizierung. Man bekommt die Zertifizierung NICHT wenn
genau das der Fall ist, den Du oben beschreibst!

Die Diskussion hier ist ein bisschen wie beim Jugendschutzfilter.
Keiner kann sich sicher sein, dass der Jugendschutzfilter auch
wirklich alles filtert. Aber man setzt ihn ein und tut somit der
Vorschrift genüge. Beim Jugendschutz gibt es diese tolle Liste vom
Bundesamt oder einen Hersteller, der glaubhaft macht richtig zu
filtern. Bei Routern mit Sicherheitsanforderungen gibt es
Zertifizierungsstellen. Hier trennt man die Netze nachweislich und
sichert die Konfiguration ab und tut damit auch der Vorschrift
genüge. Meine Meinung. Man kann halt immer alles noch besser und
perfekter machen, darin sind wir Deutsche ja eh spitze.

Natürlich kann auch jeder zu irgendwas immer eine Horrorstory
erzählen. Man kann aber auch Argumentieren: wer garantiert mir, dass
in der Verbindungsstelle der Telekom (bei der ja beide DSL Leitungen
zusammentreffen!!) das dann auch wirklich physikalisch weiter
getrennt wird? Keiner! Was soll da auch für andere Technik eingesetzt
werden? Irgendwann treffen alle Leitungen aufeinander. Dort wird auch
nur mit Wasser gekocht. Wirklich sicher ist es, wenn ich Punkt zu
Punkt habe und zwischen den Endgeräte keine Netzwerkverbindung
existiert. Dann kann ich das Internet auch gleich nicht nutzen.

Post by Marcel Noe
Oh. Ich dachte die Begriffe Sicherheit und Black-Box wären zueinander
orthogonal? Beachte bitte, dass in der Firewalling Software des Routers mit
absoluter Sicherheit Programmierfehler enthalten sind, und du
zumindest
in der Lage sein musst, Sicherheitsupdates einzuspielen.

Ja, gut, "Black Box" lässt sich auch negativ belegen. Hier hatte ich
damit: keiner kann so einfach daran rumspielen. Beispielsweise: " Hey
ich brauch AIM, schalt doch mal schnell Ports X+Y frei". War der
falsche Begriff, sorry.

Post by Maximilian S.
Das reicht um physikalische Trennung auf allen
OSI Ebenen zu gewährleisten.

Physikalische Trennung auf allen OSI Layern? ;-) Eine Physikalische Trennung
wäre eine Trennung auf Layer 1 und ich behauptet, dass du diese gerade nicht
hast. :)

Ja, stimmt. Ich hatte das mit VLAN Layer 1 vermischt :-( Mist :-)
Meine schöne Argumentation! :-)
Switches sind immer auf OSI Layer-2 and up.

Post by Marcel Noe
Das ist auch eine Kostenfrage. VLAN fähige Switches sind immer noch deutlich
teurer, als ihre dummen Artverwandten. Irgendwie finde ich den
Gedanken
unattraktiv, mehr Geld für weniger Sicherheit auszugeben. Bei komplett
getrennter Netzwerkhardware hast du wenigstens die Sicherheit, dass bei einem
Fehlverhalten der Hardware die Netze trotzdem getrennt bleiben. Und von dem
Geld, dass du an den Switches sparst kannst du mindestens 2 Jahre lang eine
DSL Flatrate finanzieren.

Nanana. Also den Switch den wir damals im Angebot hatten ware ein
netopia 3xxxer Cayman. Die Software kontrolliert Traffic bis auf
Layer-2 in der Firewall. Der hat WLAN + 4 Ports als gemanagten
Switch. Kosten ca 200 Euro. Davon kann man keine Flatrate + separaten
Anschluss bezahlen.

Es ging jetzt auch nicht darum, dass ich das einfacher oder besser
finde. Sondern nur, dass es technisch möglich wäre.

Die Schule kann sich dadurch ca. 150 Euro für einen zweiten (guten)
Router sparen + zweite DSL Flat also irgendwas unter 1000 Euro /
Jahr. Ich habe nie gesagt, dass das den Aufwand und die bei dem ein
oder anderen entstehenden unruhigen Nächte wegen mangelnden
Vertrauens wert ist.

Einfacher ist es natürlich mit zwei physikalisch getrennten Geräten.
In den hier zitierten Verordnungen aber,wird das NIRGENDS gefordert!
Es wird immer nur von Trennung gesprochen. Es wird immer nur die
phyiskalische Trennung INTERPRETIERT von der nächste Einrichtung die
die Umsetzung betreut. Es wird m.M durchgesetzt weil es die
EINFACHSTE Art ist der Verordnung gerecht zu tun und weil das jeder
versteht und jeder weiss, was man dafür braucht :-)

Also meine Kurzzusammenfassung:

Es geht technisch und wäre damit m.M. nach auch verordnungstechnisch
völlig ausreichend und es spart Betriebskosten.

Ich empfehle es NICHT, denn die Kosten für die phyiskalische Trennung
stehen nicht im Verhältnis zu dem, was ein Beschaffer wissen muss und
dem Aufwand mit dem der Router eingerichtet werden muss. Es ist
einfach (heute noch) zu kompliziert das passende Gerät zu finden,
auch gerade dann wenn Consumergeräte um die Ecke oder vom Händler
einfacher zu bedienen sind und scheller integriert sind.

viele Grüße, Maximilian.

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Marcel Noe

2006-03-03 13:26:35 UTC

Post by Maximilian S.
Meine Meinung. Man kann halt immer alles noch besser und
perfekter machen, darin sind wir Deutsche ja eh spitze.

Bleib doch mal auf dem Boden. Das war doch von meiner Seite nie als Vorwurf
gemeint. :-)

Post by Maximilian S.
Natürlich kann auch jeder zu irgendwas immer eine Horrorstory
erzählen. Man kann aber auch Argumentieren: wer garantiert mir, dass
in der Verbindungsstelle der Telekom (bei der ja beide DSL Leitungen
zusammentreffen!!) das dann auch wirklich physikalisch weiter
getrennt wird? Keiner! Was soll da auch für andere Technik eingesetzt
werden? Irgendwann treffen alle Leitungen aufeinander. Dort wird auch
nur mit Wasser gekocht. Wirklich sicher ist es, wenn ich Punkt zu
Punkt habe und zwischen den Endgeräte keine Netzwerkverbindung
existiert. Dann kann ich das Internet auch gleich nicht nutzen.

Ja, aber: Ich habe mittlerweile einige Fälle erlebt (selbst erlebt, nicht aus
dritter Hand irgendwo erfahren), in denen sich die VLAN Implementierungen von
Switches anders verhalten haben, als sie es sollten, und somit die gesamte
Sicherheit des Netzes kompromitiert haben. Erschreckenderweise auch mit sehr
teurer Hardware (Der Abschuss waren sechs Alcatel OmniSwitches 7000, die
Broadcasts in alle ELANs verteilt haben). Von daher halte ich das überhaupt
nicht an den Haaren herbeigezogen. Die Technologie ist vom Konzept her halt
anfällig.

Post by Maximilian S.
Ja, gut, "Black Box" lässt sich auch negativ belegen. Hier hatte ich
damit: keiner kann so einfach daran rumspielen. Beispielsweise: " Hey
ich brauch AIM, schalt doch mal schnell Ports X+Y frei". War der
falsche Begriff, sorry.

Ja, ich weiss. Aber ich finde das ist keine Lösung. Sicherheit ist ein Konzept,
ein laufender Vorgang. Da kann man nicht einfach eine Magische Blackbox
hinstellen und darauf Vertruaen, dass die alle Probleme löst. Diese Lösung
wäre mir auch lieber, dann könnte ich mich viel mehr den schönen Dingen des
Lebens widmen anstatt dauernd irgendwo irgendwelche Geräte zu patchen.

Post by Maximilian S.
Nanana. Also den Switch den wir damals im Angebot hatten ware ein
netopia 3xxxer Cayman. Die Software kontrolliert Traffic bis auf
Layer-2 in der Firewall. Der hat WLAN + 4 Ports als gemanagten
Switch. Kosten ca 200 Euro. Davon kann man keine Flatrate + separaten
Anschluss bezahlen.

Da muss ich ganz ehrlich sagen, dass der mir zu billig ist als das ich ihm
trauen würde. Ich kenne den Cayman nicht und habe auch auf die schnelle
nichts brauchbares bei Google gefunden. Allerdings basieren fast alle
Router in der Preisklasse entweder auf einem Infineon ADM6996 oder einem
Broadcom BCM5325 - das sind jeweils 5 Port manageable Switches auf einem
einzelnen Chip, und mit denen habe ich schon die ein oder andere
Erfahrung gemacht (ich habe vor ca. nem Jahr in dem ADM6996 Linux Treiber
rumgehackt und ein paar Zicken in der Vlan Implementierung entfernt) und kann
dir versichern, dass keiner von den beiden Chips 802.1q fehlerfrei
implementiert. Das ist bei Hardware gleich zweimal ärgerlich, die kann man
nämlich nicht patchen.

Post by Maximilian S.
Die Schule kann sich dadurch ca. 150 Euro für einen zweiten (guten)
Router sparen + zweite DSL Flat also irgendwas unter 1000 Euro /
Jahr. Ich habe nie gesagt, dass das den Aufwand und die bei dem ein
oder anderen entstehenden unruhigen Nächte wegen mangelnden
Vertrauens wert ist.

Ok. :-) Ich würde als Alternativlösung einfach zwei Netzwerkinterfaces im
Router vorschlagen, ohne VLAN. Da ist der Defaultzustand wenigstens "nichts
weiterleiten" und nicht "alles weiterleiten".

Post by Maximilian S.
einfach (heute noch) zu kompliziert das passende Gerät zu finden,
auch gerade dann wenn Consumergeräte um die Ecke oder vom Händler
einfacher zu bedienen sind und scheller integriert sind.

Ja, aber es sind hald _Consumer_geräte. Die sind nicht darauf ausgelegt,
irgendwelche besonderen Anforderungen an Sicherheit zu erfüllen. Dafür
sollte man sie auch nicht einsetzen.

Gruss Marcel

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Ralf Jahn

2006-02-28 20:57:12 UTC

Hallo Jörg,

JörgFiebig schrieb am 2006-02-28 - 21:43:24 Uhr
Ursprünglicher Betreff: Re: [SN] Verwaltungsnetz und Schulnetz trennen?
----------------------------------------

Post by JÃ¶rg Fiebig
Hallo Ralf ,

Post by Ralf Jahn
Dann würde ich an Deiner STelle einfach warten, bis du vom Dienstvorgesetzten/RSA/KuMi
die entsprechende VWV bekommst (und die _wird_ kommen oder das Projekt stirbt)

Jepp
----------------------------------------
Viele Gruesse
Ralf Jahn
ralf-oG1JPImR+***@public.gmane.org

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Helmut Hullen

2006-02-28 21:02:00 UTC

Hallo, Jörg,

Post by JÃ¶rg Fiebig
"Über die Trennung von Unterrichtsnetz und Verwaltungsnetz bestehen
noch Unklarheiten. Die physikalische Trennung der Netze ist jedoch
nicht mehr im Gespräch. Jedoch muss sichergestellt werden, dass
Schüler niemals auf die Verwaltungsdaten Zugriff erlangen können."
http://tac.sn.schule.de/index.php?name=News&file=article&sid=47
....und wie ist das zu realisieren?

Ganz einfach: wenn es schiefgeht, hat der Administrator den Schwarzen
Peter.

Und es wird schiefgehen ...

Hier in Braunschweig achtet der Schulträger (die Kommune) darauf, dass
Verwaltungsnetz und Pädagogisches Netz voneinander getrennt sind und
dass aus dem Verwaltungsnetz heraus kein Zugang ins Internet möglich
ist.

Sachsen scheint (mit SaxSVS) ein deutlich anderes Konzept zu haben.
Und anscheinend sollen dort Lehrer Verwaltungsaufgaben erledigen, für
die hier der Schulträger Personal und Sachkosten trägt.

Viele Gruesse!
Helmut

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Peter Geerds

2006-03-01 09:18:47 UTC

[Es wäre schön, wenn hier der Name des Vorredners stehen
würde ;-)]

Ganz einfach: wenn es schiefgeht, hat der Administrator den Schwarzen
Peter.
Und es wird schiefgehen ...

Hier in Bayern haftet der Schulleiter :-))

cu
PeeGee

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Philipp Flesch

2006-03-01 09:32:34 UTC

Hallo!

Post by Helmut Hullen
Hier in Braunschweig achtet der Schulträger (die Kommune) darauf, dass
Verwaltungsnetz und Pädagogisches Netz voneinander getrennt sind und
dass aus dem Verwaltungsnetz heraus kein Zugang ins Internet möglich
ist.

?!?!
Und wie sollen die Verwaltungsmitarbeiter denn im Internet z.B.
Gesetzestexte downloaden?

Philipp

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Andrea Wardzichowski

2006-03-01 10:52:36 UTC

?!?!
Und wie sollen die Verwaltungsmitarbeiter denn im Internet z.B.
Gesetzestexte downloaden?

Ganz einfach: die DB mit Schüler- und Lehrerdaten liegt auf einem
Notebook und das liegt im Tresor oder zumindest abgeschlossenen Schrank.

Die Sekretärin und die Verwaltung arbeitet auf anderen Rechnern mit
Internetzugang.

Anders gehts IMHO nicht sauber und man möchte ECHT nicht, daß
personenbezogene Daten frei rumfliegen.

Andrea

--
DFN-Verein WiNShuttle Hotline hotline-cdJ5+b+Cp/***@public.gmane.org
Deutsches Forschungsnetz e.V. Tel: +49-711-63314-222
Stresemannstr. 78, 10963 Berlin FAX: +49-711-63314-133
http://www.shuttle.de/ http://www.dfn.de/

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Philipp Flesch

2006-03-01 11:26:38 UTC

Post by Andrea Wardzichowski
Ganz einfach: die DB mit Schüler- und Lehrerdaten liegt auf einem
Notebook und das liegt im Tresor oder zumindest abgeschlossenen Schrank.
Die Sekretärin und die Verwaltung arbeitet auf anderen Rechnern mit
Internetzugang.
Anders gehts IMHO nicht sauber und man möchte ECHT nicht, daß
personenbezogene Daten frei rumfliegen.

Puh!
Ne ... das ist mit Kanonen auf Spatzen geschossen ...
dann doch lieber Linux Firewall!

Philipp

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Helmut Hullen

2006-03-01 11:39:00 UTC

Hallo, Philipp,

Post by Andrea Wardzichowski
Ganz einfach: die DB mit Schüler- und Lehrerdaten liegt auf einem
Notebook und das liegt im Tresor oder zumindest abgeschlossenen Schrank.
Die Sekretärin und die Verwaltung arbeitet auf anderen Rechnern
mit Internetzugang.
Anders gehts IMHO nicht sauber und man möchte ECHT nicht, daß
personenbezogene Daten frei rumfliegen.

Puh!
Ne ... das ist mit Kanonen auf Spatzen geschossen ...
dann doch lieber Linux Firewall!

Von Laien betreut. Oder von der Internet-AG betreut.
Und damit wird sehr wahrscheinlich gegen etliche Datenschutz-
Bestimmungen verstossen, mindestens aus purer Unkenntnis.

Wenn es dann zu einem Prozess kommt, dann wird nur gefragt: "wer ist
verantwortlich?"

Die Trennung hat vor allem rechtliche Gründe, Haftungsgründe. Keine
technischen Gründe.

Viele Gruesse!
Helmut

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Philipp Flesch

2006-03-01 16:50:32 UTC

Post by Philipp Flesch
Ne ... das ist mit Kanonen auf Spatzen geschossen ...
dann doch lieber Linux Firewall!

Deswegen: extern an profis vergeben oder durch eine einrichtung wie belwue

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Maximilian S.

2006-03-01 20:07:35 UTC

Hallo,

Post by Philipp Flesch
Puh!
Ne ... das ist mit Kanonen auf Spatzen geschossen ...
dann doch lieber Linux Firewall!

War jemand von Euch auf der Didacta? Auf dem Stand von Cornelsen?

Falls ja, würde mich die Meinung zu ***@school interessieren.

Wenn ich den freundlichen T-Systems Mann dort richtig verstanden habe,
proklamieren Sie eine Lösung, bei der der Server, die Internetanbindung
und die Softwareinstallation auf dem Server von T-Systems
durchgeführt wird.

Auf die Frage nach der Haftung (etwa beim Zugriff auf
jugendgefährdende Inhalte,
Rechtsbruch, etc.) hat er dann gemeint: dafür ist dann die T-Systems
zuständig,
denn die betreiben ja dann über den Server die Anbindung.

Geht so etwas überhaupt? Damit wäre ja jede Schule aus dem
Schneider?! Einfach eine
externe Firma beauftragen, fertig!
Wenn nein, gilt das vielleicht nur für einige Länder mit anderen
Rechtsvorschriften?

Das ganze scheint auch ein tolles Mietmodell zu werden (150€/Monat
pro Schule+Client-Lizenzen).
Verfügbar angeblich ab April in Version 2.0 (Version 1.0 kenne ich
auch nicht).

Würde mich interessieren, wer sich das näher angesehen hat und wie
die Meinungen dazu
sind.

viele Grüße, Maximilian.

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Andrea Wardzichowski

2006-03-01 12:29:50 UTC

Post by Andrea Wardzichowski

?!?!
Und wie sollen die Verwaltungsmitarbeiter denn im Internet z.B.
Gesetzestexte downloaden?

Korrigiere: VPN ginge natürlich schon aber wenn das sauber eingerichtet
wird kostets eben wieder. Also obiges ist die *günstige* Lösung.

Andrea

--
DFN-Verein WiNShuttle Hotline hotline-cdJ5+b+Cp/***@public.gmane.org
Deutsches Forschungsnetz e.V. Tel: +49-711-63314-222
Stresemannstr. 78, 10963 Berlin FAX: +49-711-63314-133
http://www.shuttle.de/ http://www.dfn.de/

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Juergen Bertram

2006-03-01 14:19:50 UTC

Post by Andrea Wardzichowski

?!?!
Und wie sollen die Verwaltungsmitarbeiter denn im Internet z.B.
Gesetzestexte downloaden?

Korrigiere: VPN ginge natürlich schon aber wenn das sauber eingerichtet
wird kostets eben wieder. Also obiges ist die *günstige* Lösung.

Bei dieser Diskussion ist natuerlich zu beachten,
dass m.W. Schulverwaltungsarbeit auf vernetzten PCs
laenderunheitlich geregelt ist.

In B-W ist Verwaltungsarbeit insbesondere i.V.m.
personenbezogenen Daten auf vernetzten Schulrechnern
nur erlaubt(http://www.belwue.de/lan-support/Services/km.html),
wenn durch das Ministerium definierte Sicherheitsmassnahmen
getroffen sind. Bestimmungen also, die fuer das
Landesverwaltungsnetz gelten deren Einhaltung aber die
*unguenstige* BelWue-Loesung neben anderen Varianten
(siehe obigen Link)

Allerdings ist dafuer ein alternativer Netzanschluss erforderlich,
was ebenfalls Kosten verursacht.

Das oben zitierte Notebook duerfte hierzulande ueberhaupt nicht
ungeschuetzt im Sinne der ministeriellen Definition ans Netz
gehen.

Ob mit der Tresorloesung eine zeitgemaesse
Verwaltungskommunikation gewaehrleistet werden kann,
ist eine ganz andere Frage.
Ist es nicht ein wenig absurd, wenn sich professionelle
Verwaltungsarbeit auf eine Amateurloesung stuetzen soll?

Post by Andrea Wardzichowski
Andrea
--
Deutsches Forschungsnetz e.V. Tel: +49-711-63314-222
Stresemannstr. 78, 10963 Berlin FAX: +49-711-63314-133
http://www.shuttle.de/ http://www.dfn.de/

Gruss
J.Bertram

-- Juergen Bertram, BelWue-Koordination -------- Tel: 0711/685-5797 --
Universitaet Stuttgart Fax: 0711/678-8363
Allmandring 3A, 70550 Stuttgart Schul-Hotline Tel: 01803/235983
-- mailto:bertram-9ex3EfVGP56zQB+***@public.gmane.org ----------------- http://www.belwue.de/ --

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Philipp Flesch

2006-03-01 16:27:08 UTC

also mir gefaellt diese zentralisierte BelWue-Loesung mit von
kompetenten Fachkraeften eingerichteten Routern und dann VPN echt am
besten ... sicheres Netz ... und trotzdem recht geringe Kosten ....
einfach grandiose Loesung

Philipp

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Helmut Hullen

2006-03-01 11:36:00 UTC

Hallo, Philipp,

Post by Helmut Hullen
Hier in Braunschweig achtet der Schulträger (die Kommune) darauf,
dass Verwaltungsnetz und Pädagogisches Netz voneinander getrennt
sind und dass aus dem Verwaltungsnetz heraus kein Zugang ins
Internet möglich ist.

?!?!
Und wie sollen die Verwaltungsmitarbeiter denn im Internet z.B.
Gesetzestexte downloaden?

Gar nicht.
Sie haben Zugriff zum Intranet des Schulträgers, und das hat zu
reichen.
Sicherheit ist was anderes als Komfort.

Viele Gruesse!
Helmut

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Reinhard Hagemeier

2006-03-01 15:39:18 UTC

Post by Philipp Flesch
Und wie sollen die Verwaltungsmitarbeiter denn im Internet z.B.
Gesetzestexte downloaden?

In unserem Sekretariat befindet sich neben den vernetzten Rechnern ein
Rechner mit Drucker, der nur einen Anschluss ans weltweite Netz hat.
Dieser erfüllt den oben beschriebenen Zweck und mit Hilfe dessen wird
der E-Mailverkehr erledigt.

Reinhard Hagemeier
Ratsgymnasium Stadthagen
Niedersachsen

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Philipp Flesch

2006-03-01 15:45:07 UTC

Post by Reinhard Hagemeier

Post by Philipp Flesch
Und wie sollen die Verwaltungsmitarbeiter denn im Internet z.B.
Gesetzestexte downloaden?

In unserem Sekretariat befindet sich neben den vernetzten Rechnern ein
Rechner mit Drucker, der nur einen Anschluss ans weltweite Netz hat.

WOW!
Nicht schlecht ... aber im Prinzip hast Du schon recht: bevor ein PC
unsicher angebunden wird weil kein Feld fuer Firewall-Server vorhanden
ist das mit Sicherheit die bessere Loesung!

Philipp

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Ulrich Kloppenburg

2006-03-01 21:57:35 UTC

?!?!
Und wie sollen die Verwaltungsmitarbeiter denn im Internet z.B.
Gesetzestexte downloaden?

Unsere Verwaltungsrechner bilden ein eigenes Intranet, auf das nur die
Sekretärinnen und die Oberstufenbetreuer Zugriff haben. Auf dem Server
verrichtet ein Suse 8.0 immer noch klaglos seinen Dienst. Mangels
Internet sehe ich auch keinerlei Notwendigkeit, irgendwelche
Sicherheitsupdates einspielen zu müssen.

Weiterhin steht im Oberstufenbüro noch ein Rechner mit Internetzugang,
der auch ausschließlich dafür genutzt wird. Gesetzestexte,
Softwareupdates usw. werden per USB-Stick ins Verwaltungsnetz
transportiert. So häufig kommt das ja auch nicht vor.

Für den email-Verkehr der Schule hat eine Sekretärin zwei Rechner:
Einen fürs Verwaltungsnetz und einen fürs Internet.

Das alles hört sich umständlich an, aber dafür wasche ich meine Hände
in Unschuld. Daran wird sich erst was ändern, wenn mir jemand
schriftlich gibt, daß er die Verantwortung übernimmt... ;-)

Gruß,
Ulrich Kloppenburg

--
If privacy is outlawed, only outlaws will have privacy.
--- Phil Zimmermann
PGP-Key: 08E0E3C6
Key fingerprint = E5AE 4754 73AC FF2F 937D 1C51 0E2B F6F6 08E0 E3C6

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Jörg Erbsmehl

2006-03-01 16:58:34 UTC

Hallo Helmut,

Post by Helmut Hullen
Ganz einfach: wenn es schiefgeht, hat der Administrator den Schwarzen
Peter.

ja, aber manchmal ist die Frage:
Wer ist eigentlich der Administrator?

Ich kenne eine Schule, da sind alle im Sekretariat per Wireless LAN
verbunden und nutzen einen gemeinsamen Internetzugang. (ISDN)
Verschlüsselt wird mit WEP, was anderes soll mit der alten Technik nicht
möglich sein.
Die Firma die es eingerichtet hat existiert nicht mehr. Die
Nachfolgefirma (der selbe Mitarbeiter) fühlt sich nicht verantwortlich.
Dem MPZ der Stadt ist der Zustand bekannt. Dort wird scheinbar kein
Handlungsbedarf gesehen.

Post by Helmut Hullen
Und es wird schiefgehen ...

Ja, oder wenn die Umstände glücklich sind ist die Schule abgewickelt
bevor der GAU eintritt.

Viele Grüße
Jörg

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Philipp Flesch

2006-03-01 18:32:28 UTC

Hallo!

Post by JÃ¶rg Erbsmehl
Die Firma die es eingerichtet hat existiert nicht mehr. Die
Nachfolgefirma (der selbe Mitarbeiter) fühlt sich nicht verantwortlich.
Dem MPZ der Stadt ist der Zustand bekannt. Dort wird scheinbar kein
Handlungsbedarf gesehen.

WAAAAAAAAAAAAAAAAASSS??
Ups! Wireless in der Verwaltung ist eh generell TABU! Wer hat denn so
etwas genehmigt?? Der Sachaufwandstraeger hat doch auch IT'ler!

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Axel Morawietz

2006-03-01 19:59:36 UTC

Post by Philipp Flesch
WAAAAAAAAAAAAAAAAASSS??
Ups! Wireless in der Verwaltung ist eh generell TABU! Wer hat denn so
etwas genehmigt?? Der Sachaufwandstraeger hat doch auch IT'ler!

Ja, Sachen gibt's. Allerdings gibt es noch weitere Dinge, bei dem einem
die Haare zu Berge stehen. (... auch von diesen hat der
Sachaufwandsträger Kenntnis ...)

Mit freundlichen Grüßen
Axel Morawietz

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Philipp Flesch

2006-03-01 09:44:45 UTC

Uiiii!
Mein Lieblingsthema ;-)
Also ... generell gehoeren beide Netzwerke getrennt ... und zwar auch
PHYSIKALISCH ;-)
Einzige Schnittstelle die ich mir vorstellen koennte, waere eine eigene
Firewall, die mit dem Verwaltungsserver in einem Schrank
weggeschloessen ist und eine Verbindung zum Internet-Gateway (z.B.
Arktur oder Debian) des Schul-Netzes (ueber eine separate Karte in
diesem) aufbaut.
"Schueler" muesste dann zuerst den Gateway und dann noch die Firewall hacken.

Warum diese Loesung?
Ist sicherer als die oft sehr haeufig praktizierte Variante ISDN-Karte
an Windows XP PC.
Zudem ist es moeglich Kosten einzusparen! Eine Linux-basierte Firewall
Loesung koennte zudem noch das Mailhandling inkl. Virenscanner
uebernehmen und einen eigenen Proxy fuer das Verwaltungsnetz anbieten.

ABER:
Ich rate dringend dazu, diese Loesung von einem externen Anbieter
einrichten zu lassen, damit man diesen dann auch bei eventuellen
Problemen zur Haftung heranziehen kann.

Philipp

Reinhold Dorn

2006-03-01 13:57:11 UTC

Hallo,

Post by Philipp Flesch
Uiiii!
Mein Lieblingsthema ;-)

fein ;)

Post by Philipp Flesch
Also ... generell gehoeren beide Netzwerke getrennt ... und zwar auch
PHYSIKALISCH ;-)

so praktizieren wir es:

Chef und Sektretärin haben je 2 Rechner, die Verwaltungsrechner sind
nicht am Internet aber miteinander vernetzt. In das Internet geht die
Sekretärin über einen ISDN-Router - da gibt es noch einen weiteren
Sicherheitsaspekt - sie bearbeitet damit auch ein Onlinekonto der
Schule. Der 2.Chefrechner ist ans Intranet angeschlossen , da kann er
wenn er will surfen, den könnte man aber auch an den Router anschließen.
Das kann Schule noch einigermaßen selber regeln, verantwortlich ist der
Schulleiter. Alles andere würde ich dann auch nur noch vom Schulträger
per Firma machen lassen.

--
Viele Grüße

Reinhold Dorn

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Juergen Bertram

2006-03-01 14:34:19 UTC

Post by JÃ¶rg Fiebig
Hallo,

Post by Philipp Flesch
Uiiii!
Mein Lieblingsthema ;-)

fein ;)

Post by Philipp Flesch
Also ... generell gehoeren beide Netzwerke getrennt ... und zwar auch
PHYSIKALISCH ;-)

Chef und Sektretärin haben je 2 Rechner, die Verwaltungsrechner sind
nicht am Internet aber miteinander vernetzt. In das Internet geht die
Sekretärin über einen ISDN-Router - da gibt es noch einen weiteren
Sicherheitsaspekt - sie bearbeitet damit auch ein Onlinekonto der
Schule. Der 2.Chefrechner ist ans Intranet angeschlossen , da kann er
wenn er will surfen, den könnte man aber auch an den Router anschließen.
Das kann Schule noch einigermaßen selber regeln, verantwortlich ist der
Schulleiter. Alles andere würde ich dann auch nur noch vom Schulträger
per Firma machen lassen.

Und wodurch findet hier die 'physikalische Trennung' statt?

Wann wird endlich dieser falsch interpretierte
oder unzureichend uebersetzte Begriff begraben?
Die gemeinsame Stromzufuehrung oder die Zusammenfuehrung der
Daten auf einer gemeinsamen Fernleitung ist eine 'physikalische
Verbindung' der Netzwerkkomponenten.

Es gibt keine physikalische Trennung bei vernetzten Rechnern,
es gibt nur eine Trennung auf dem 'physikal layer'
was etwas ganz anderes ist. Eine andere Auslegung waere
absurd.

Post by JÃ¶rg Fiebig
--
Viele Grüße
Reinhold Dorn

Thomas Mueller

2006-03-01 14:18:42 UTC

Post by Philipp Flesch
Uiiii!
Mein Lieblingsthema ;-)
Also ... generell gehoeren beide Netzwerke getrennt ... und zwar auch
PHYSIKALISCH ;-)

[...]

Post by Philipp Flesch
Ich rate dringend dazu, diese Loesung von einem externen Anbieter
einrichten zu lassen, damit man diesen dann auch bei eventuellen
Problemen zur Haftung heranziehen kann.
Philipp

Sehe ich auch so! Schulverwaltung ist Sache des Schulträgers, wenn Vernetzung
und Internetzugang dazu notwendig ist, erst recht. Die Kosten für einen
DSL-Anschluss etc. sind ja nun auch nicht mehr so gravierend.

Thomas

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Dieter Mossbrucker

2006-03-01 15:45:44 UTC

Hallo,

Post by Philipp Flesch
Uiiii!
Mein Lieblingsthema ;-)
Also ... generell gehoeren beide Netzwerke getrennt ... und zwar
auch PHYSIKALISCH ;-)

Wir haben in unserem Verwaltungsnetz 7 PCs (Sekretariat, Oberstufenberater,
SL, stellv. SL, demnächst Lehrmittelverwaltung), alle haben (unterschiedlichen)
Zugriff auf den Vertretungsplan, auf die Schülerdaten, usw., EMail, Internet,
Homeverzeichnisse, an jedem PC kann sich jeder Benutzer anmelden und
bekommt dann das, was er darf. Eingerichtet wurde alles von einer Firma, ein
Kollege betreut das Netz (dh. er macht Datensicherungen, Softwareupdates,
usw.), ernsthaftere Arbeiten macht die Firma.

In BW ist das alles geregelt, lt. Erlass des KuMi ist ein Internetzugang über
BelWue bzw. KISS erlaubt und sogar notwendig, weil vieles mittlerweile anders
gar nicht mehr geht.

Unser Schulnetz (70 PCs, BW-Novell-MuLö) ist völlig getrennt und wird auch von
anderen Kollegen betreut.

Der Schulträger (die Stadt) hat mit all dem gar nichts zu tun, wir finanzieren alles
aus dem eigenen Etat - dieser kommt allerdings vom Schulträger.

Mit einem Laptop im Schrank, auf dem die personenbezogenen Daten liegen,
könnte ich nichts anfangen, mit einem zweiten PC nur fürs Internet auch nichts.
Das sind Vorschläge, die an der Realität einer Schulverwaltung für ein großes
Gymnasium (1100 SchülerInnen, 80 KollegInnen) vorbeigehen.

Herzliche Grüße vom Bodensee
Dieter Moßbrucker

--
==================================================
StD Dieter Moßbrucker Friedrich-Hecker-Gymnasium
www.wildnis-wandern.de www.fhg-radolfzell.de
==================================================

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Siegfried Schwarzl

2006-03-01 17:23:53 UTC

Post by Dieter Mossbrucker
Wir haben in unserem Verwaltungsnetz 7 PCs (Sekretariat, Oberstufenberater,
SL, stellv. SL, demnächst Lehrmittelverwaltung), alle haben (unterschiedlichen)
Zugriff auf den Vertretungsplan, auf die Schülerdaten, usw., EMail, Internet,
Homeverzeichnisse, an jedem PC kann sich jeder Benutzer anmelden und
bekommt dann das, was er darf. Eingerichtet wurde alles von einer Firma, ein
Kollege betreut das Netz (dh. er macht Datensicherungen, Softwareupdates,
usw.), ernsthaftere Arbeiten macht die Firma.
In BW ist das alles geregelt, lt. Erlass des KuMi ist ein Internetzugang über
BelWue bzw. KISS erlaubt und sogar notwendig, weil vieles mittlerweile anders
gar nicht mehr geht.

Wobei aber leider der gesamte Internetverkehr über einen
kostenpflichtigen Zugang abgewickelt wird. Und das kann ganz
schön ins Geld gehen.

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Helmut Hullen

2006-03-01 19:22:00 UTC

Hallo, Siegfried,

Post by Siegfried Schwarzl

Post by Dieter Mossbrucker
In BW ist das alles geregelt, lt. Erlass des KuMi ist ein
Internetzugang über BelWue bzw. KISS erlaubt und sogar notwendig,
weil vieles mittlerweile anders gar nicht mehr geht.

Wobei aber leider der gesamte Internetverkehr über einen
kostenpflichtigen Zugang abgewickelt wird. Und das kann ganz
schön ins Geld gehen.

Ja und?
Sicherheit gibt es nicht zum Nultarif.
Und "wir hatten aber kein Geld für eine saubere Lösung" ist keine
rechtlich tragfähige Begründung für Unsicherheit.

Viele Gruesse!
Helmut

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Siegfried Schwarzl

2006-03-01 20:28:18 UTC

Post by Siegfried Schwarzl
Wobei aber leider der gesamte Internetverkehr über einen
kostenpflichtigen Zugang abgewickelt wird. Und das kann ganz
schön ins Geld gehen.

Ja und?
Sicherheit gibt es nicht zum Nultarif.
Und "wir hatten aber kein Geld für eine saubere Lösung" ist keine
rechtlich tragfähige Begründung für Unsicherheit.

Es _ist_ eine saubere Lösung, da sie aber (volumen- oder
zeitabhängig) Geld kostet (jedenfalls bisher bei uns), wird sie
nur für das absolute Minimum genutzt, sprich E-Mail-Verkehr.

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Dieter Mossbrucker

2006-03-01 18:24:27 UTC

Hallo,

Post by Siegfried Schwarzl

Wobei aber leider der gesamte Internetverkehr über einen
kostenpflichtigen Zugang abgewickelt wird. Und das kann ganz
schön ins Geld gehen.

das ist so falsch: bei BelWue und über KISS gibt es Festpreise, beides für DSL.

Herzliche Grüße vom Bodensee
Dieter Moßbrucker

--
==================================================
StD Dieter Moßbrucker Friedrich-Hecker-Gymnasium
www.wildnis-wandern.de www.fhg-radolfzell.de
==================================================

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Siegfried Schwarzl

2006-03-01 19:42:19 UTC

Post by Dieter Mossbrucker

Post by Siegfried Schwarzl
Wobei aber leider der gesamte Internetverkehr über einen
kostenpflichtigen Zugang abgewickelt wird. Und das kann ganz
schön ins Geld gehen.

das ist so falsch: bei BelWue und über KISS gibt es Festpreise, beides für DSL.

?

KISS wird doch m. W. über Arcor-ISDN abgewickelt, und da gibt es
ebenfalls m. W. keine Festpreise. Oder hat sich da etwas
geändert?

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Dieter Mossbrucker

2006-03-01 19:49:52 UTC

Hallo,

Post by Siegfried Schwarzl
KISS wird doch m. W. über Arcor-ISDN abgewickelt, und da gibt es
ebenfalls m. W. keine Festpreise. Oder hat sich da etwas
geändert?

es gibt Arcor-DSL-Festpreise für KISS, schon seit über einem Jahr.

Herzliche Grüße vom Bodensee
Dieter Moßbrucker

--
==================================================
StD Dieter Moßbrucker Friedrich-Hecker-Gymnasium
www.wildnis-wandern.de www.fhg-radolfzell.de
==================================================

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Holger Beck

2006-03-01 17:08:05 UTC

Hallo Jörg,

Post by JÃ¶rg Fiebig
"Über die Trennung von Unterrichtsnetz und Verwaltungsnetz bestehen noch
Unklarheiten. Die physikalische Trennung der Netze ist jedoch nicht mehr
im Gespräch.

Darüber, das es logisch und vernünftig ist, brauchen wir nicht zu
streiten. Ich möchte nur mal genau wissen, wo in welchen Gesetzblatt
(mit §§-Angabe) steht das, das man diese Netze pysikalisch trennen muss.

Grüße Holger Beck

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Kai Wollweber

2006-03-01 17:50:00 UTC

Post by Holger Beck
Darüber, das es logisch und vernünftig ist, brauchen wir nicht zu
streiten. Ich möchte nur mal genau wissen, wo in welchen Gesetzblatt
(mit §§-Angabe) steht das, das man diese Netze pysikalisch trennen muss.

Da wirst du in den Landesverordnungen nachsehen müssen.

In Schleswig Holstein gilt die:
Landesverordnung über die Verarbeitung personenbezogener Daten in Schulen
(Datenschutzverordnung Schule)
Vom 3. April 1998
Fundstelle: GVOBl. 1998, S. 167

§ 8
Automatisierte Verfahren

(1) (...)

(2) Die Datenverarbeitungsgeräte in der Schule, mit denen personenbezogenen
Daten nach dieser Verordnung verarbeitet werden, dürfen nicht mit
Datenverarbeitungsanlagen für Unterrichtszwecke oder mit privaten
Datenverarbeitungsanlagen vernetzt werden.

Dieser Absatz wurde in der Vergangenheit so interpretiert, dass Schul- und
Verwaltungsnetz physikalisch getrennt sein müssen, d.h. 2 VPNs über ein
Netzwerk reichen nicht aus.

--
Kai Wollweber
IGS Eckernförde

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Peter Merdian

2006-03-01 20:44:57 UTC

Subject: Re: Verwaltungsnetz und Schulnetz trennen?

Da wirst du in den Landesverordnungen nachsehen müssen.
Landesverordnung über die Verarbeitung personenbezogener Daten in Schulen
(Datenschutzverordnung Schule)
Vom 3. April 1998
Fundstelle: GVOBl. 1998, S. 167
§ 8
Automatisierte Verfahren
(1) (...)
(2) Die Datenverarbeitungsgeräte in der Schule, mit denen personenbezogenen
Daten nach dieser Verordnung verarbeitet werden, dürfen nicht mit
Datenverarbeitungsanlagen für Unterrichtszwecke oder mit privaten
Datenverarbeitungsanlagen vernetzt werden.
Dieser Absatz wurde in der Vergangenheit so interpretiert, dass Schul- und
Verwaltungsnetz physikalisch getrennt sein müssen, d.h. 2 VPNs über ein
Netzwerk reichen nicht aus.

Ja, das dachte ich anfangs auch. Demnach:

DSL-Router - paed-Netz (direkt im oeffentlichen Internet bzw.
ueber NAT-Gateway)
DSL-Router - Verwaltungsnetz (adressmaessig im Landesverwaltungsnetz;
Zugang ins Internet ueber Web-Proxy
im Landesverwaltungsnetz oder BelWue
oder KISS)
Damit sind beide Netze "physikalisch" getrennt. Die Kommunikation
zwischen beiden erfolgt per Mail oder Web-Proxy. Wichtig ist, dass
eine Firewall keinen Verkehr ins Verwaltungsnetz zulaesst. Technisch
ist im BelWue die Verbindung vom Verwaltungs-DSL-Router ins Landes-
verwaltungsnetz per VPN realisiert (damit keine unverschluesselten
Daten irgendwo auftauchen).

Was waere nun, wenn der Verwaltungsrouter kein ATM-Interface (fuers
DSL), sondern ein Ethernetinterface (ins paed. Netz) haette? Der
VPN-Endpunkt ist dann immer noch im Landesverwaltungsnetz. Ob die
verschluesselten Daten ueber ATM/DSL oder ueber Ethernet/ATM/DSL
gehen, macht sicherheitsmaessig keinen Unterschied - ich sehe
zumindest keine zusaetzlichen Angriffspunkte.

Fuer die Sicherheit des Verwaltungsnetzes sind andere Dinge wichtig,
die durch ein strenges Sicherheitskonzept definiert sind (z.B.
moeglichst kein VLAN mit einem Switch, der auch vom paed. Netz
genutzt wird; Passwortwahl; Betriebssystemupdates; Virenscanner;
kein WLAN; besondere Sorgfaltspflicht bei Notebooks; Bildschirm-
schoner; kein Zugang vom Internet in das Verwaltungsnetz durch
restriktive Firewall; besondere Sorgfalt bei Mailanhaengen und
beim Surfen im Internet bzw. sicherere Programme hierfuer als die
Standartprogramme von Microsoft; etc.)

Viele Gruesse,
--
-- Peter Merdian, BelWue-Koordination ---------- Tel: 0711/685-5804 --
Universitaet Stuttgart Fax: 0711/678-8363
Allmandring 3A, 70550 Stuttgart Schul-Anschluss: 01803/235983
-- mailto:merdian-9ex3EfVGP56zQB+***@public.gmane.org ----------------- http://www.belwue.de/ --

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Marcel Noe

2006-03-02 17:27:52 UTC

Post by Peter Merdian
Was waere nun, wenn der Verwaltungsrouter kein ATM-Interface (fuers
DSL), sondern ein Ethernetinterface (ins paed. Netz) haette? Der
VPN-Endpunkt ist dann immer noch im Landesverwaltungsnetz. Ob die
verschluesselten Daten ueber ATM/DSL oder ueber Ethernet/ATM/DSL
gehen, macht sicherheitsmaessig keinen Unterschied - ich sehe
zumindest keine zusaetzlichen Angriffspunkte.

Was mich daran stören würde:

Du routest direkt in ein per Definition feindliches Netz (ich gehe oBdA davon
aus, dass die User des Pädagogischen Netzes ein aus nicht näher spezifizierten
Gründen ein besonderes Interesse an einem Einbruch ins Verwaltungsnetz haben).
Nun hast du das Problem, dass für diese User nun bekannt ist, hinter welchem
Router sich das Verwaltungsnetz verbirgt - im Falle einer Dial-UP Verbindung
würde ein Angriff auf den Router dardurch erschwert, dass der Angreifer garnicht
weiss, hinter welcher IP-Adresse dieser sich verbirgt, im Szenario mit der
Kopplung an das Pädagogische Netz ist dies bekannt oder zumindest leicht
ermittelbar. Die einzige Barriere, die den Angreifer jetzt aus dem
Verwaltungsnetz raushält ist der Paketfilter auf dem Router.
Da Sicherheitslücken bekanntlich in jeder Software vorhanden sind müsste der
potentielle Angreifer nur darauf warten, dass eine solche Lücke im
Betriebssystem des Routers auftritt und dann so schnell wie möglich zuschlagen.

Darüber hinaus ist es für den Angreifer möglich, den Transportweg der Pakete
zu beinflussen - Man in the Middle Angriffe werden z.B. durch das Routen durchs
pädagogische Netz erst möglich. Bei der Verwendung eines eigenen Routers
könnten diese lediglich von Mitarbeitern der Provider auf der Transportstrecke
des VPN vorgenommen werden, und denen unterstelle ich einfach mal, dass sie
- anders als Schüler - kein besonderes Interesse an den Daten einer Schule
haben.

Nun will ich nicht von der Verwendung eines gemeinsamen Internetzugangs
abraten - allerdings würde ich auf garkeinen Fall den Router des
Verwaltungsnetz an das selbe Ethernet wie das pädagogische Netz anschliessen.
Ich denke hier wäre es sinnvoller, dem Router des pädagogischen Netzes
zwei Lan-Interfaces zu spendieren und per Paketfilter zu verhindern, dass diese
Interfaces Pakete austauschen. Ich stelle mir das Diagrammässig folgendermassen
vor:

Pädagogisches Netz
|
|
DSL --- BORDER ROUTER
|
|
Verwaltungs Router
|
|
Verwaltungs Netz

Möchte man das Sicherheitsniveau noch weiter steigern könnte man zwischen dem
Verwaltungs-Router und dem Border-Router einen weiteren Paketfilter
als Bridge integrieren, der zum einen ein anderes Betriebssystem verwendet
als der Verwatungs Netz Router und zum anderen lediglich ESP Pakete durchlässt.

Apropros Betriebssysteme: Auf garkeinen Fall sollten der Verwaltungs-Router
und der Border Router das selbe Betriebssystem verwenden (Ich würde den
Verwaltungsrouter mit NetBSD und den Border Router mit Linux realisieren),
um einen doppelten Schutz vor Lücken in der Firewallsoftware zu realisieren.

Gruss Marcel

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Peter Merdian

2006-03-03 16:43:51 UTC

Hallo Marcel,

Subject: Re: Verwaltungsnetz und Schulnetz trennen?

Du routest direkt in ein per Definition feindliches Netz

Ich weiss, daran habe ich mich auch zuerst gestoert. Das ist heute
aber ueblich (VPNs ueber das oeffentliche Internet) - und ist eine
Frage des Vertrauens in die Verschluesselung. Uebrigens empfehlen
wir zusaetzlich auf Anwendungsebene zu verschluesseln
(https/POP3S/Secure IMAP).

Kompromittierung des Routers und Man in the Middle Angriffe halte
ich gemessen an Aufwand/Ertrag fuer ein akzeptables Restrisiko.
Ich weiss, dass Profis das hinbekommen wuerden, aber schwerlich
ein Schueler. Wesentlich einfacher waere m.E. ein Einbruch mittels
Trojanern.

So sieht es bei uns i.d.T. aus. Allerdings befindet sich noch
zusaetzlich ein Musterloesungsserver zwischen "BORDER ROUTER"
und paed. Netz (letzteres sind dann die PCs mit priv. Adressen
auf denen sich die Schueler befinden).

Apropros Betriebssysteme: Auf garkeinen Fall sollten der Verwaltungs-Router
und der Border Router das selbe Betriebssystem verwenden (Ich würde den
Verwaltungsrouter mit NetBSD und den Border Router mit Linux realisieren),
um einen doppelten Schutz vor Lücken in der Firewallsoftware zu realisieren.

Ich wuerde keine UNIX PCs als Router verwenden, da die zu teuer, zu
personalintensiv und zu unsicher sind. Wir verwenden kleine billige
Ciscorouterchen. Die sind in 10 Minuten konfiguriert und laufen
dann jahrelang. Patches aufspielen wie bei UNIX PCs ist kein Thema,
ebensowenig Plattendefekte.

Viele Gruesse,
--
-- Peter Merdian ------------------------- mailto:merdian-9ex3EfVGP56zQB+***@public.gmane.org --
BelWue-Koordination Tel: 0711/685-5804
Universitaet Stuttgart Fax: 0711/678-8363
-- Allmandring 3A, 70550 Stuttgart ---------- http://www.belwue.de/ --

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Philipp Flesch

2006-03-03 18:13:54 UTC

Hallo!

Post by Marcel Noe
Apropros Betriebssysteme: Auf garkeinen Fall sollten der Verwaltungs-Router
und der Border Router das selbe Betriebssystem verwenden (Ich würde den
Verwaltungsrouter mit NetBSD und den Border Router mit Linux realisieren),
um einen doppelten Schutz vor Lücken in der Firewallsoftware zu realisieren.

Puh ...
zwei thesen denen ich widersprechen muss ... und das an einem Tag!
also wir haben sehr gute Erfahrungen gemacht mit Linux
(ausschliesslich) aber auch CISCO ... Hier jetzt Linux und BSD parallel
aufzusetzen finde ich ein wenig over-sized!

Post by Peter Merdian
Ich wuerde keine UNIX PCs als Router verwenden, da die zu teuer, zu
personalintensiv und zu unsicher sind. Wir verwenden kleine billige
Ciscorouterchen. Die sind in 10 Minuten konfiguriert und laufen
dann jahrelang. Patches aufspielen wie bei UNIX PCs ist kein Thema,
ebensowenig Plattendefekte.

;-)
Da muss ich Dir teilweise Recht geben ... also sofern das Geld
vorhanden ist und es eine zentrale "Wartungsinstanz" gibt, auf jeden
Fall CISCO ... ohne Platte und co ;-)
Gibt es die nicht - es ist einfacher ein Systemhaus zu finden, dass
einen Linux-Gateway wartet als eines, dass einen CISCO wartet ...

Philipp

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Marcel Noe

2006-03-03 19:48:40 UTC

Äh Philipp, wo ist da bitte der Widerspruch?

Gruss Marcel

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Marcel Noe

2006-03-03 18:22:52 UTC

Post by Peter Merdian
Kompromittierung des Routers und Man in the Middle Angriffe halte
ich gemessen an Aufwand/Ertrag fuer ein akzeptables Restrisiko.
Ich weiss, dass Profis das hinbekommen wuerden, aber schwerlich
ein Schueler.

Oh, ich halte das für einen entscheidenden Fehler. Du unterschätzt hier die
Schüler. Ich kenne genügend Leute, die während ihrer Schulzeit bereits
Exploits für allerlei Programme geschrieben haben, am Alter kannst du das nicht
festmachen. Davon abgesehen würde ich den Schutzbedarf eines Netzwerkes nicht
am erwarteten Angreifer sondern an der Schutzbedürftigkeit der Daten
festmachen. Andererseits stimme ich zu, dass ein VPN als solches hinreichend
sicher ist.

Post by Peter Merdian
Wesentlich einfacher waere m.E. ein Einbruch mittels
Trojanern.

Ja, das stimmt. Oder social engineering.

Post by Peter Merdian
Wir verwenden kleine billige Ciscorouterchen.

Darf ich raten: Ihr verwendet Cisco 850/851 Router?

Post by Peter Merdian
Die sind in 10 Minuten konfiguriert und laufen dann jahrelang.

Ihr spielt keine Softwareupdats ein? Ich dachte IOS hätte genauso wie jedes
Betriebssystem auch Lücken? Sollte man die nicht besser patchen?

Post by Peter Merdian
ebensowenig Plattendefekte.

Flashspeicher gibt es auch für PCs, das ist kein Argument. Und so billig ist
ein Cisco 800 Series Router auch nicht, dafür kann man sich durchaus passable
PC Hardware leisten (oder eine ältere Sun Workstation).

Gruss Marcel

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Maximilian S.

2006-03-03 19:16:06 UTC

Oh, ich halte das für einen entscheidenden Fehler. Du unterschätzt hier die
Schüler. Ich kenne genügend Leute, die während ihrer Schulzeit bereits
Exploits für allerlei Programme geschrieben haben, am Alter kannst du das nicht
festmachen. Davon abgesehen würde ich den Schutzbedarf eines
Netzwerkes nicht
am erwarteten Angreifer sondern an der Schutzbedürftigkeit der Daten
festmachen. Andererseits stimme ich zu, dass ein VPN als solches hinreichend
sicher ist.

Dem kann ich nur voll und ganz zustimmen. Schüler sind SEHR kreativ!
Als Berater bekomme ich die Reports von einigen hundert Schulbezirken
(gebündelt, nicht einzeln :-) ), was die alles so treiben kann man
sich manchmal gar nicht vorstellen! Lücken die vor 5 Minuten im
Internet-geposted wurden sind da schon ein alter Hut!

Post by Peter Merdian
Wesentlich einfacher waere m.E. ein Einbruch mittels
Trojanern.

Ja, das stimmt. Oder social engineering.

Das ist eh das größte Problem! Darüber denkt ja eh keiner beim
Entwurf dieser tollen Vorschriften nach.

Wie einfach ist es eigentlich in das Schulsekretariat zu laufen und
mal in paar Klassenlisten durchzulesen auf der dann die
Personalnummern stehen, die zufälligerweise auch zur Erzeugung der
Passwörter verwendet werden, oder vielleicht lässt ein Lehrer mal die
Default-Passwörter rumliegen, oder der super geschützte (physikalisch
getrennte) Verwaltungs-PC hängt aus Bequemlichkeit über einen eigenen
Switch zusätzlich im Schulnetz (weil da muss man ja auch arbeiten),
oder ....

Ich denke DIESE Liste lässt sich problemlos fortsetzen :-)

viele Grüße, Maximilian.

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Marcel Noe

2006-03-03 19:54:14 UTC

Post by Maximilian S.
Ich denke DIESE Liste lässt sich problemlos fortsetzen :-)

Für unser schriftliches Abitur wurden Blätter verwendet, die mit dem
Schulstempel gestempelt wurden. Ich bin irgendwann später mal aus Spass ins
Sekretariat gelaufen und mir kurzerhand den Stempel ausgeliehen (ich habe
einfach dannach gefragt) - rein zum Spass.
Kommentar von der Sekretärin, als ich ihn zurückgab: "Äh Marcel, was wolltest
du eigentlich damit Stempeln?". "Abiturpapier". ;-)

Ich glaube seitdem verleihen die keine Stempel mehr. Ich muss allerdings
Fairerweise dazusagen, dass ich damals ECDL Kurse gemacht habe und wir die
Skill-Cards mit dem selben Stempel gestempelt haben - aber trotzdem, soetwas
verleiht man doch nicht an Schüler. ;-)

Gruss Marcel

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Peter Merdian

2006-03-05 11:36:27 UTC

Hallo Marcel,

Subject: Re: Verwaltungsnetz und Schulnetz trennen?

Post by Peter Merdian
Wir verwenden kleine billige Ciscorouterchen.

Darf ich raten: Ihr verwendet Cisco 850/851 Router?

Fuer DSL:
Cisco SOHO91, SOHO96, 831, 836, 851, 876.

Post by Peter Merdian
Die sind in 10 Minuten konfiguriert und laufen dann jahrelang.

Ihr spielt keine Softwareupdats ein? Ich dachte IOS hätte genauso wie jedes
Betriebssystem auch Lücken? Sollte man die nicht besser patchen?

Das Problem am Anfang ist, ein stabiles, funktionierendes IOS zu
finden (Anfang = neue Routerplattform oder neuer Dienst wie DSL
oder ISDN).
Ein stabiles IOS muss man bei den kleinen DSL-Kundenroutern danach
nicht mehr updaten (es gibt keine Sicherheitsprobleme, die behoben
werden muessen). Manche unserer Kernnetzrouter laufen seit 3 Jahren
ohne reboot; alte Ciscorouter seit 10 Jahren mit demselben IOS.

Post by Peter Merdian
ebensowenig Plattendefekte.

Ja, das haengt vor allem von den Kenntnissen der Mitarbeiter ab.
Andererseits bieten wir eine Hardwaregarantie auf Lebenszeit an
(genauergesagt solange der Router fuer die Anbindung ueber das
BelWue genutzt wird, was 5-10 Jahre bedeuten kann). Und fuer die
300 Euro, die wir derzeit verlangen, ist das mit PCs oder SUNs
schlecht kalkulierbar.

Viele Gruesse,
--
-- Peter Merdian ------------------------- mailto:merdian-9ex3EfVGP56zQB+***@public.gmane.org --
BelWue-Koordination Tel: 0711/685-5804
Universitaet Stuttgart Fax: 0711/678-8363
-- Allmandring 3A, 70550 Stuttgart ---------- http://www.belwue.de/ --

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Marcel Noe

2006-03-05 12:17:47 UTC

Post by Peter Merdian
Ein stabiles IOS muss man bei den kleinen DSL-Kundenroutern danach
nicht mehr updaten (es gibt keine Sicherheitsprobleme, die behoben
werden muessen).

Es gab in der Vergangenheit nachweislich Lücken (meistens entweder im Remote
Management oder im HTTP Server), die gezeigt haben, dass unter IOS prinzipiell
die selben Sicherheitsprobleme (Stack und Buffer Overflows e.g.) vorhanden
sind, wie in jedem anderen Betriebssystem auch. Das bisher noch keine
gravierenden Lücken im Routing gefunden wurden bedeutet nicht, dass solche
nicht prinzipiell vorhanden wären. Ich bin da in letzter Zeit ziemlich
misstrauisch geworden.

Wie patcht ihr die an die Kunden verteilten Router, wenn eine solche Lücke
bekannt wird? Habt ihr die Möglichkeit des Remote Managements oder müsst ihr
diese einschicken lassen?

Post by Peter Merdian
Manche unserer Kernnetzrouter laufen seit 3 Jahren
ohne reboot; alte Ciscorouter seit 10 Jahren mit demselben IOS.

Oh, mir fällt da gerade was auf...

"
cisco software Rel. 12.2
Konfiguration 1.47 erzeugt am 02/12/19 von merdian
"

Der Name kam mir doch gleich so bekannt vor. ;-)

Post by Peter Merdian
Ja, das haengt vor allem von den Kenntnissen der Mitarbeiter ab.
Andererseits bieten wir eine Hardwaregarantie auf Lebenszeit an
(genauergesagt solange der Router fuer die Anbindung ueber das
BelWue genutzt wird, was 5-10 Jahre bedeuten kann). Und fuer die
300 Euro, die wir derzeit verlangen, ist das mit PCs oder SUNs
schlecht kalkulierbar.

Ja, natürlich. Ich glaube wir reden da auch etwas aneinander vorbei. Ich finde
die von euch angebotene Lösung nicht schlecht, ganz im Gegenteil. Auf das
PC Thema kamen wir eigentlich nur, weil ich vorschlug, dass man theoretisch mit
einem zusätzlichen Paketfilter die Sicherheit weiter steigern könnte, man
allerdings dann darauf achten muss, eine andere Platform zu verwenden - sonst
würde ein zweiter Paketfilter ja keinen Sinn machen.

Gruss Marcel

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Peter Merdian

2006-03-05 12:40:31 UTC

Subject: Re: Ciscorouterchen (war: Re: Verwaltungsnetz und Schulnetz trenn

Post by Peter Merdian
Ein stabiles IOS muss man bei den kleinen DSL-Kundenroutern danach
nicht mehr updaten (es gibt keine Sicherheitsprobleme, die behoben
werden muessen).

HTTP Server haben wir auf keinem Cisco am laufen; dynamisches
Routing auf keinem der DSL-Router; von Remote Management Problemen,
die einen IOS Upgrade notwendig machen, ist mir nichts bekannt.

Wie patcht ihr die an die Kunden verteilten Router, wenn eine solche Lücke
bekannt wird? Habt ihr die Möglichkeit des Remote Managements oder müsst ihr
diese einschicken lassen?

Ein IOS Upgrade waere remote moeglich.

Viele Gruesse,
--
-- Peter Merdian ------------------------- mailto:merdian-9ex3EfVGP56zQB+***@public.gmane.org --
BelWue-Koordination Tel: 0711/685-5804
Universitaet Stuttgart Fax: 0711/678-8363
-- Allmandring 3A, 70550 Stuttgart ---------- http://www.belwue.de/ --

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Marcel Noe

2006-03-05 13:39:26 UTC

Post by Peter Merdian
HTTP Server haben wir auf keinem Cisco am laufen;

Gut, das dachte ich mir.

Post by Peter Merdian
dynamisches
Routing auf keinem der DSL-Router; von Remote Management Problemen,
die einen IOS Upgrade notwendig machen, ist mir nichts bekannt.

http://www.cisco.com/warp/public/707/cisco-sa-20030717-blocked.shtml
http://www.cisco.com/warp/public/707/cisco-sa-20051102-timers.shtml
http://www.cisco.com/en/US/products/products_security_advisory09186a008021bc62.shtml
http://www.cisco.com/en/US/products/products_security_advisory09186a00800b13aa.shtml
http://www.cisco.com/en/US/products/products_security_advisory09186a008042d51b.shtml

Aber Cisco ist ja bekannt dafür, dass sie Leute in Grund und Boden klagen,
die Sicherheitslücken in ihren Produkten veröffentlichen:

http://www.zdnet.de/news/security/0,39023046,39135378,00.htm
http://www.heise.de/security/news/meldung/62197

Post by Peter Merdian
Ein IOS Upgrade waere remote moeglich.

Na dann.

Gruss Marcel

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Maximilian S.

2006-03-05 15:41:05 UTC

Hallo Marcel,

Post by Marcel Noe
...
Aber Cisco ist ja bekannt dafür, dass sie Leute in Grund und Boden klagen,

...

Also: ich habe nichts mit Cisco am Hut und bin dort auch nicht
angestellt.

Ich glaube aber nicht, dass man von einem Fall der im Internet mal
wieder
zerrissen wurde, man rückwirkend auf eine ganze Firma schliessen darf.

Klar ist Cisco hier der Marktführer und Sicherheitslücken haben hier
eine hohen
Verbreitungsgrad. Gleiches kann man auch von Microsoft behaupten und
Linux hat
sicherlich die höchste Verbreitung bei den Script-Kiddies und
Hackern, also dürfte
man das auch nicht empfehlen, etc. pp.

Marktführer in einem Segment wird man aber auch nicht umsonst. Mir
ist ein schnell
gefixter Bug tausendmal lieber, als eine Firma, die das lange erstmal
gar nicht zugibt,
oder die ihr Produkt 2-3 Jahre später schon gar nicht mehr kennt.

Und bei Cisco kann ich mir sicher sein, dass die das schnell fixen,
denn tun die das
nicht, ist ihr Hautgeschäft ruiniert und die Firma gibt es ganz
schnell nicht mehr.

Daneben kenne ich einen Fall, da waren den Schülern all die schönen
lokalen Pläne
und Router einfach egal. Sie haben sich einfach beim Provider
reingehackt.

IMHO es kommt nicht sosehr darauf an, dass man alles auf die beste
Art und Weis macht,
sondern dass man es im Rahmen des möglichen effizient und effektiv
genug tut.

An der Stelle ist alles nur eine Frage der Darstellung. Ein Einkäufer
greift eben lieber zu
Produkten die er "glaubhaft" kennt als zu Produkten, bei denen man
ihm erst erklären muss
warum man sie einsetzen will. Ergo: er glaubt viel leichter, dass ein
CISCO Hardware-Router
sicher ist, also ein fünfach gekoppelte Arktuer-Solaris-Microsoft-
FreeBSD-Mac OS X-Lösung mit
dreissig Hardwarekarten und 12 Firewalls. :-)

viele Grüße, Maximilian.

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Jörg Fiebig

2006-03-03 19:08:49 UTC

Hallo Peter, Marcel,

hmm, bei mir kommt ein normaler Router mit internem DSL-Modem und dann
hängt jeweils ein Arktur 4 dran. Wie sicher ist denn diese Konstruktion?
(brauche ich da also einen teuren DSL-Router, der nochmals die beiden
Arkturi voreinander abschirmt?

--
MfG J. Fiebig
http://www.Erzgebirgskolleg.de
http://www.Fortbildung.istnichtdumm.de
http://www.Arktur.hatdichlieb.de

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Marcel Noe

2006-03-03 19:57:26 UTC

Post by JÃ¶rg Fiebig
hmm, bei mir kommt ein normaler Router mit internem DSL-Modem und dann
hängt jeweils ein Arktur 4 dran. Wie sicher ist denn diese Konstruktion?

Ich würde sagen die Sicherheit beträgt 42.

Post by JÃ¶rg Fiebig
(brauche ich da also einen teuren DSL-Router, der nochmals die beiden
Arkturi voreinander abschirmt?

Nein. So lange die Arkturs selbst nicht in die Netze routen, d.h. nur
"eine Richtung" durchlassen und regelmässig gepatcht werden halte ich das
für vertretbar, sofern jeder Arktur selbst an einem eigenen Interface des
äusseren Arkturs hängt. Ansonsten bleibe ich dabei, unterschiedliche
Betriebssysteme würden das Sicherheitsniveau weiter erhöhen.

Gruss Marcel

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Jörg Fiebig

2006-03-03 20:16:04 UTC

Hallo Marcel

Post by Marcel Noe
Ich würde sagen die Sicherheit beträgt 42.

Welche Einheit ? :-)

Post by JÃ¶rg Fiebig
(brauche ich da also einen teuren DSL-Router, der nochmals die beiden
Arkturi voreinander abschirmt?

kein äußerer Arktur:

DSL
|
Hardwarerouter (incl. Modem)
| |
Schul- Ver-
netz- walt.-
arktur arktur

--
MfG J. Fiebig
http://www.Erzgebirgskolleg.de
http://www.Fortbildung.istnichtdumm.de
http://www.Arktur.hatdichlieb.de

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Marcel Noe

2006-03-05 00:10:30 UTC

Hallo Jörg,

Post by Marcel Noe
Ich würde sagen die Sicherheit beträgt 42.

Welche Einheit ? :-)

Äpfel pro Birne. :)

Post by JÃ¶rg Fiebig
DSL
|
Hardwarerouter (incl. Modem)
| |
Schul- Ver-
netz- walt.-
arktur arktur

Ok. Dazu ein paar Fragen: Handelt es sich jeweils um voneinander getrennte
Interfaces des Routers oder hängt der einfach an einem Switch? Ist der
Verwaltungsarktur durch iptables nach aussen geschützt? Bietet er irgendwelche
Dienste wie ssh nach aussen an?

Gruss Marcel

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Jörg Schäfer

2006-03-05 09:15:44 UTC

Hallo Marcel,

Post by JÃ¶rg Fiebig
DSL
|
Hardwarerouter (incl. Modem)
| |
Schul- Ver-
netz- walt.-
arktur arktur

da meine Konfiguration in der Schule ähnlich wenn nicht sogar gleich

Post by Marcel Noe
Ok. Dazu ein paar Fragen: Handelt es sich jeweils um voneinander getrennte
Interfaces des Routers

Nein. Mein Router macht dhcp und versorgt die beiden Server, die eine
extra Netzwerkkarte für das Internet haben, mit unterschiedlichen IPs.

Post by Marcel Noe
oder hängt der einfach an einem Switch?

Am Switch hängen beide Server wieder über jeweils eine andere NIC, d.h.
jeder Server hat zwei Netzwerkkarten, eine fürs Internet, die andere
fürs Intranet.

Post by Marcel Noe
Ist der
Verwaltungsarktur durch iptables nach aussen geschützt?

Soweit es vorkonfiguriert ist, ja. Weitere chains habe ich nicht definiert.

Post by Marcel Noe
Bietet er irgendwelche
Dienste wie ssh nach aussen an?

Nein. Die sind ausgeschaltet. Ich habe im Serverraum beide Server mit
kleinem Bildschirm und Tastatur stehen. Alle Konfigurationen nehme ich
direkt an der Maschine vor.

Gruß
Jörg (Schäfer!)

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Jörg Fiebig

2006-03-05 09:19:17 UTC

Hallo Marcel,

Post by JÃ¶rg Fiebig
DSL
|
Hardwarerouter (incl. Modem)
| |
Schul- Ver-
netz- walt.-
arktur arktur

beide Arkturs 4 laufen in den Standardeinstellungen (dürften also nichts
nach aussen abieten, oder?)
Der Router ist eine 4-Port Router Xyxel Vigor (kostenlos zum DSL)
Er hat also keine erweiterten Sicherheitseinstellungen.

Ich habe schon etwas gesucht, aber mangels Kenntnissen, nichts
eindeutiges gefunden.

DrayTek Vigor 2600i
oder
LANCOM 1621 ADSL/ISDN

bieten zwar VLANs und so'n Zeug, aber mir ist nicht klar (nach den
vielen Mails) ob ich da einfach sagen kann DSL-Port und LAN-1 sind VLAN1
und DSL-Port und LAN-2 sind VLAN2, restliche LANS disabled und die Sache
wäre "sicher".

Also wäre ich auch für Gerätevorschläge offen (aber bitte nicht nur in
exorbitanten Preisklassen) - auch so - natürlich welche mit DSL-"Modem"
und ISDN-"Modem" zwecks "fallback".

Da ich keine Ahnung habe, ist mir auch nicht so ganz klar, wie der
Schüler-PC 192.168.0.22 auf den Verwaltungs-PC 192.168.0.22 (am anderen
Arktur4) Zugriff erlangt. Müsste er da nicht den Verwaltungs-Arktur4
hacken umd von dem aus dann auf den Verwaltungs-PC zuzugreifen?

Aber die Hardware-Antwort wäre schon völlig ausreichend.

--
MfG J. Fiebig
http://www.Erzgebirgskolleg.de
http://www.Fortbildung.istnichtdumm.de
http://www.Arktur.hatdichlieb.de

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Peter Merdian

2006-03-05 11:53:54 UTC

Subject: Re: Verwaltungsnetz und Schulnetz trennen?
Hallo Marcel,

Post by JÃ¶rg Fiebig
DSL
|
Hardwarerouter (incl. Modem)
| |
Schul- Ver-
netz- walt.-
arktur arktur

Da ich keine Ahnung habe, ist mir auch nicht so ganz klar, wie der
Schüler-PC 192.168.0.22 auf den Verwaltungs-PC 192.168.0.22 (am anderen
Arktur4) Zugriff erlangt. Müsste er da nicht den Verwaltungs-Arktur4
hacken umd von dem aus dann auf den Verwaltungs-PC zuzugreifen?

Ja, der Schuler wuerde zuerst den Schulnetzarktur hacken,
dann den Verwaltungssarktur hacken und dann auf PCs in
der Verwaltung zugreifen (falls das dann noch interessant
ist). Als Schueler waere mir das aber zu riskant (sofern
der Angriff von intern erfolgen wuerde); ich wuerde eher
von extern versuchen, einen Trojaner auf einem Verwaltungs-PC
zu platzieren.

Viele Gruesse,
--
-- Peter Merdian ------------------------- mailto:merdian-9ex3EfVGP56zQB+***@public.gmane.org --
BelWue-Koordination Tel: 0711/685-5804
Universitaet Stuttgart Fax: 0711/678-8363
-- Allmandring 3A, 70550 Stuttgart ---------- http://www.belwue.de/ --

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Jörg Fiebig

2006-03-05 13:29:15 UTC

Hallo Peter,

Post by JÃ¶rg Fiebig
DSL
|
Hardwarerouter (incl. Modem)
| |
Schul- Ver-
netz- walt.-
arktur arktur

also kann ich den billigsten DSL-Router nehmen den ich finden kann,
oder?

--
MfG J. Fiebig
http://www.Erzgebirgskolleg.de
http://www.Fortbildung.istnichtdumm.de
http://www.Arktur.hatdichlieb.de

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Peter Merdian

2006-03-05 18:17:58 UTC

Subject: Re: Verwaltungsnetz und Schulnetz trennen?
Hallo Peter,

Post by JÃ¶rg Fiebig
DSL
|
Hardwarerouter (incl. Modem)
| |
Schul- Ver-
netz- walt.-
arktur arktur

also kann ich den billigsten DSL-Router nehmen den ich finden kann,
oder?

Der Vorteil von einem teuren DSL-Router mit 2 LAN-Interfaces nach
innen und der Moeglichkeit, dort ACLs zu konfigurieren, ist eine
zweite Firewall. Ob das notwendig ist (oder ggf. billiger mit einer
extra Firewall zw. Hardwarerouter und Verwaltungssarktur) muss die
Verwaltung entscheiden.

Viele Gruesse,
--
-- Peter Merdian ------------------------- mailto:merdian-9ex3EfVGP56zQB+***@public.gmane.org --
BelWue-Koordination Tel: 0711/685-5804
Universitaet Stuttgart Fax: 0711/678-8363
-- Allmandring 3A, 70550 Stuttgart ---------- http://www.belwue.de/ --

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Marcel Noe

2006-03-06 23:55:41 UTC

Post by Peter Merdian
Ja, der Schuler wuerde zuerst den Schulnetzarktur hacken,
dann den Verwaltungssarktur hacken und dann auf PCs in
der Verwaltung zugreifen (falls das dann noch interessant
ist). Als Schueler waere mir das aber zu riskant (sofern
der Angriff von intern erfolgen wuerde); ich wuerde eher
von extern versuchen, einen Trojaner auf einem Verwaltungs-PC
zu platzieren.

Nachdem ich sehr lange darüber nachgedacht habe, wieviel Sicherheit in einer
Schule wirklich notwendig ist, hier mal meine Gedanken hierzu:

Zu meiner Schulzeit war das eigentlich alles recht überschaubar. Wir waren
ca. 850-1000 Schüler in einer recht freundlichen Atmosphäre (vielleicht sehe
ich das zu nostalgisch, aber ich habe bis heute ein sehr gutes Verhältnis zu
meiner ehemaligen Schule). Und eigentlich kannte man jeden an der Schule so
gut, dass man wusste, wer dazu in der Lage wäre, irgendwelchen Unsinn
anzustellen, und wer nicht. Solche Leute hätte man dann versucht zu
integrieren. Wenn etwas passiert wäre, wäre es ziemlich klar gewesen, in
welche Richtung man hätte suchen müssen.
Ich denke das ist an den meisten Schulen so ähnlich, jemand der sich sehr
gut im Computerbereich auskennt wird das nicht für sich behalten.

Wir hatten damals[TM] drei Informatiklehrer, von denen einer für den
Internetauftritt, einer für das pädagogische Netz und einer für das
Verwaltungsnetz zuständig war. Das Verwaltungsnetz war komplett getrennt, in
den meisten Räumen hatten wir deshalb zwei Netzwerkdosen und z.B. im Lehrer-
zimmer einen Rechner am Verwaltungsnetz und mehrere im pädagogischen Netz.
Genauso im Direktorzimmer und in der Bibliothek (Die Ausleihsoftware lag im
Verwaltungsnetz, die Rechner mit Internetzugang alle im päd. Netz).
Das Verwaltungsnetz hatte einen eigenen Router, für dessen Pflege eine externe
Firma verantwortlich war. Da dieser Internetzugang recht teuer war, hat man
für die meisten Dinge die Rechner im pädagogischen Netz verwendet und den
Internetzugang im Verwaltungsnetz lediglich für dienstliche Dinge, die dann
auch der Schulträger bezahlt hat.

Was mir ziemlich gut daran gefiel war, dass sich eine sehr saubere Aufgaben-
trennung realisieren lässt, bei der es auch kein Kompetenzgerangel gab.
Für die Sicherheit des Verwaltungsnetz war klar der externe Dienstleister
verantwortlich, das ganze über einen Wartungsvertrag abgesichert.

Das pädagogische Netz pflegen wir mittlerweile zu dritt (Ein Lehrer, eine
1-Euro Stelle und um manche Dinge kümmere ich mich remote, ich wohne
mittlerweile über 120 KM weit weg).

Mit Hackerversuchen hatten wir nie Probleme - ich vermute das liegt einfach
daran, dass wir jedem die Chance geben, sich aktiv zu beteiligen (es kann
ja nicht viel passieren, im aller schlimmsten Fall müsste man einen Rechner
neu aufsetzen). Das nimmt den meisten Kiddies schon das Wind aus den Segeln.

Sehr interessant finde ich in dem Zusammenhang das Problem des Vandalismus.
Das alte Netz wurde von einer Firma eingerichtet, und viele Dinge haben nicht
oder nur unzureichend funktioniert (z.B. haben die NT Workstations wegen
zu geringer Speicherausstattung ewig gebootet). Damals kam es oft vor, dass
Rechner angemalt wurden, Mäuse verschwanden etc. Seitdem wir das neue Netz
haben (komplett von uns geplant) und wir uns sehr stark um die Pflege kümmern
ist das Problem praktisch nicht mehr existent. Ich denke mit dem Computer-
vandalismus (aka Hacken) ist das so ähnlich. So lange die Leute sich nicht
eingeschränkt fühlen und die vorhandene Ausstattung eher als Angebot sehen,
haben sie wenig interesse daran, irgend etwas kaputt zu machen.

Gruss Marcel

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Guenther Kuehlewind

2006-03-05 12:38:36 UTC

Post by JÃ¶rg Fiebig
DSL
|
Hardwarerouter (incl. Modem)
| |
Schul- Ver-
netz- walt.-
arktur arktur

[...]

Post by JÃ¶rg Fiebig
Da ich keine Ahnung habe, ist mir auch nicht so ganz klar, wie der
Schüler-PC 192.168.0.22 auf den Verwaltungs-PC 192.168.0.22 (am anderen
Arktur4) Zugriff erlangt. Müsste er da nicht den Verwaltungs-Arktur4
hacken umd von dem aus dann auf den Verwaltungs-PC zuzugreifen?

Wäre das Ganze sicherer, wenn die beiden Netze in verschiedenen
IP-Bereichen laufen würden, wie z. B. Schüler-Netz 192.168.0.x und
Verwaltungs-Netz 192.168.5.x ?

Gruß
Günther Kühlewind

--
Guenther Kuehlewind
Schablweg 9
83471 Berchtesgaden
Germany
Tel. 0049 8652 69419

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Marcel Noe

2006-03-05 13:25:36 UTC

Post by Guenther Kuehlewind
Wäre das Ganze sicherer, wenn die beiden Netze in verschiedenen
IP-Bereichen laufen würden, wie z. B. Schüler-Netz 192.168.0.x und
Verwaltungs-Netz 192.168.5.x ?

Nein. Entscheidend ist hier die Physikalische Ebene.

Gruss Marcel

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Jörg Fiebig

2006-03-05 13:26:03 UTC

Post by Guenther Kuehlewind

Hallo Guenther,

Post by JÃ¶rg Fiebig
DSL
|
Hardwarerouter (incl. Modem)
| |
Schul- Ver-
netz- walt.-
arktur arktur

[...]

Wäre das Ganze sicherer, wenn die beiden Netze in verschiedenen
IP-Bereichen laufen würden, wie z. B. Schüler-Netz 192.168.0.x und
Verwaltungs-Netz 192.168.5.x ?

Bsp.:
DSL-Router vergibt Adressen im Bereich 192.168.50.x
Arktur 1 hat 192.168.50.50 (auf der Karte zum Router)
Arktur 2 hat 192.168.60.51 (auf der Karte zum Router)

Arktur 1 (Schulnetz) versorgt die Netze 192.168.0.x , 1.x , 9.x
Arktur 2 (Verwaltung) versorgt nur 192.168.0.x

Wieso sollte ich den auf ein anderes Netz umstellen?

ach so - die Clients hängen an Switchen, die nur mit dem jeweiligen
Arktur4 (Server) verbunden sind - also nicht mit dem jeweils anderen
Server!

--
MfG J. Fiebig
http://www.Erzgebirgskolleg.de
http://www.Fortbildung.istnichtdumm.de
http://www.Arktur.hatdichlieb.de

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Helmut Hullen

2006-03-03 21:09:00 UTC

Hallo, Jörg,

Post by JÃ¶rg Fiebig
hmm, bei mir kommt ein normaler Router mit internem DSL-Modem und
dann hängt jeweils ein Arktur 4 dran. Wie sicher ist denn diese
Konstruktion? (brauche ich da also einen teuren DSL-Router, der
nochmals die beiden Arkturi voreinander abschirmt?

Der Router ist sehr wahrscheinlich per Web-Interface konfigurierbar
..

Viele Gruesse!
Helmut

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Helmut Hullen

2006-03-01 19:28:00 UTC

Hallo, Holger,

Post by Holger Beck

Post by JÃ¶rg Fiebig
"Über die Trennung von Unterrichtsnetz und Verwaltungsnetz
bestehen noch Unklarheiten. Die physikalische Trennung der Netze
ist jedoch nicht mehr im Gespräch.

Der nette Richter am Amtsgericht besteht nicht zwingend darauf, dass
ein spezieller Erlass o.ä. für Schulen existiert.

Wenn Unbefugte Zugriff auf personenbezogene Daten haben, dann liegt
ein Verstoss gegen ein Gesetz vor, das nicht einzig für Schulen gilt.
Und daran wird der Administrator gemessen.

Es gibt keine weichere Form der Datenschutz-Gesetze speziell für
Schulen.

Viele Gruesse!
Helmut

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Joachim Deckers

2006-03-01 20:00:05 UTC

Hallo Helmut!

Post by Helmut Hullen
Wenn Unbefugte Zugriff auf personenbezogene Daten haben, dann liegt
ein Verstoss gegen ein Gesetz vor, das nicht einzig für Schulen gilt.
Und daran wird der Administrator gemessen.

In NRW haftet zunächst einmal die Schulleitung.

Eine persönliche Haftung des Administrators halte ich für wenig
wahrscheinlich, solange ihm nicht mind. grobe Fahrlässigkeit
nachgewiesen werden kann - was kaum geht, da ihm die Schulleitung ja
meistens nicht die Fortbildung finanzieren wird, die es ihm ermöglicht,
Fachmensch im Bereich der IT-Sicherheit zu sein. Solange der
Administrator also auf Weisung (bzw. mit Zustimmung) der Schulleitung
handelt, kann ihm kaum ein Strick daraus gedreht werden.

"Zugriff auf personenbezogene Daten" durch Unbefugte ist m.E.
typischerweise in erster Linie ein Problem, das mit falsch aufgestellten
Monitoren in Sekretariaten zu tun hat...

Ist dir übrigens irgendein Fall bekannt, wo tatsächlich ein
Administrator dienstlich oder privat wegen sicherheitstechnischer Fehler
im netzwerk Kontakt mit dem "nette[n] Richter am Amtsgericht" hatte? Mir
nicht, und ich bezweifle auch, dass das so ohne weiteres dazu kommen wird.
Panikmache halte ich für wenig hilfreich.

Gruß
Joachim

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Helmut Hullen

2006-03-01 21:43:00 UTC

Hallo, Joachim,

Post by Joachim Deckers

Post by Helmut Hullen
Wenn Unbefugte Zugriff auf personenbezogene Daten haben, dann
liegt ein Verstoss gegen ein Gesetz vor, das nicht einzig für
Schulen gilt. Und daran wird der Administrator gemessen.

Also: wo ist die Weisung?
(ich kann auch "Schwarzer Peter" spielen ...)

Post by Joachim Deckers
Ist dir übrigens irgendein Fall bekannt, wo tatsächlich ein
Administrator dienstlich oder privat wegen sicherheitstechnischer
Fehler im netzwerk Kontakt mit dem "nette[n] Richter am
Amtsgericht" hatte? Mir nicht, und ich bezweifle auch, dass das so
ohne weiteres dazu kommen wird. Panikmache halte ich für wenig
hilfreich.

Ich kenne einige Schulen, bei denen in grob fahrlässiger Weise
geschlampt wird. Wenn da ein Kollege (weil ihm eine Laus über die
Leber gelaufen ist) sich beschwert, dann gibt das viel Ärger für den
Administrator. Auch wenn der es "nur gut gemeint" hat.

Gilt übrigens in gleicher Weise für personenbezogene Daten, die nicht
vom Monitor abgelesen werden. Lehrer sind da erheblich sorgloser als
das Verwaltungs-Personal.

Viele Gruesse!
Helmut

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Holger Beck

2006-03-02 15:12:28 UTC

Post by Holger Beck

Post by JÃ¶rg Fiebig
"Über die Trennung von Unterrichtsnetz und Verwaltungsnetz
bestehen noch Unklarheiten. Die physikalische Trennung der Netze
ist jedoch nicht mehr im Gespräch.

Der nette Richter am Amtsgericht besteht nicht zwingend darauf, dass
ein spezieller Erlass o.ä. für Schulen existiert.

Deine Antwort bringt mich leider nicht einen Millimeter weiter, denn das
ist mir nicht neu.

Richtig! Daraus kannst du aber nicht schlussfolgern, das du
Schulverwaltungs- und pädagogisches Netz pysikalisch trennen musst. Du
musst Schutzmaßnehmen (und hier liegt der "Gummi") ergreifen. Hier komme
ich nicht weiter.

Klasse, sowas stelle ich mir vor. Nur leider habe ich für Sachsen noch
nichts Dementsprechendes gefunden.
Auch das "Stöbern" in anderen Bundesländern brachte dazu bisher nichts.
Wenn ihr also nochwas dazu findet wäre es schön, dieses mich wissen zu
lassen.

Grüße Holger
mailto:holger-beck-***@public.gmane.org

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Reinhard Kern

2006-03-02 16:09:51 UTC

Hallo Holger,

Post by Holger Beck
Klasse, sowas stelle ich mir vor. Nur leider habe ich für Sachsen noch
nichts Dementsprechendes gefunden.
Auch das "Stöbern" in anderen Bundesländern brachte dazu bisher nichts.
Wenn ihr also nochwas dazu findet wäre es schön, dieses mich wissen zu
lassen.

google doch mal nach "Verarbeitung personenbezogener Daten in Schulen"
(mit den " " eingeben), dann findest du neben Schleswig-Holstein
mindestens noch Hessen und Brandenburg.

Nette Grüße
Reinhard Kern

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Helmut Hullen

2006-03-02 18:28:00 UTC

Hallo, Holger,

Post by Holger Beck

Post by Helmut Hullen
Wenn Unbefugte Zugriff auf personenbezogene Daten haben, dann
liegt ein Verstoss gegen ein Gesetz vor, das nicht einzig für
Schulen gilt. Und daran wird der Administrator gemessen.

Richtig! Daraus kannst du aber nicht schlussfolgern, das du
Schulverwaltungs- und pädagogisches Netz pysikalisch trennen musst.
Du musst Schutzmaßnehmen (und hier liegt der "Gummi") ergreifen.
Hier komme ich nicht weiter.

Ja und? Du wirst nirgendwo eie Positiv-Auskunft bekommen: "wenn Du das
so und so machst, dann ist alles in Ordnung."

Trennung der Netze ist nur ein recht überzeugendes Verfahren, um für
ein wenig Sicherheit zu sorgen.

Viele Gruesse!
Helmut

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Torsten Otto

2006-03-02 21:37:35 UTC

Moin!

In Hamburg ist die Lage durch das Schulgesetz klar definiert (siehe
v.a. Punkt 4):
Datenschutz

§ 98

Datenverarbeitung im Schulbereich

(1) 1 Personenbezogene Daten der Schülerinnen und Schüler und ihrer
Erziehungsberechtigten dürfen von den Schulen und der zuständigen
Behörde verarbeitet werden, soweit dies nach näherer Bestimmung einer
Rechtsverordnung gemäß § 101 zur Erfüllung der gesetzlichen Aufgaben
der Schule erforderlich ist. 2 Schülerinnen und Schüler, deren
Erziehungsberechtigte und Lehrerinnen und Lehrer sind verpflichtet,
die erforderlichen Angaben zu machen.

(2) Personenbezogene Daten von Schülerinnen und Schülern über
Verhaltensaufälligkeiten und Disziplinarvorgänge sowie medizinische
und psychologische Angaben dürfen nur in nichtautomatisierten Dateien
und Akten verarbeitet werden.

(3) 1 Die Übermittlung personenbezogener Daten zwischen den in Absatz
1 genannten Stellen und an andere öffentliche Stellen ist zulässig,
soweit dies zur Erfüllung der Aufgaben der übermittelnden Stelle oder
des Empfängers erforderlich und eine Erhebung bei der Betroffenen
oder dem Betroffenen nur mit unverhältnismäßigem Aufwand möglich ist.
2 An nichtöffentliche Stellen, die gemeinsam mit beruflichen Schulen
ausbilden, dürfen Daten über den Schulbesuch übermittelt werden,
soweit dies im Rahmen der dualen Ausbildung erforderlich ist. 3 Im
Übrigen ist die Übermittlung personenbezogener Daten an
nichtöffentliche Stellen zulässig, wenn der Empfänger ein rechtliches
Interesse an der Kenntnis der Daten glaubhaft macht oder die Daten
unmittelbar aus allgemein zugänglichen Quellen entnommen werden
können und kein Grund zu der Annahme besteht, dass das schutzwürdige
Interesse des Betroffenen an der Geheimhaltung überwiegt.

(4) 1 Eine Vernetzung von Datenverarbeitungsgeräten, auf denen Daten
von Schülerinnen und Schülern und Erziehungsberechtigten verarbeitet
werden, mit Datenverarbeitungsgeräten, die für Unterrichtszwecke
verwendet werden, ist unzulässig. 2 Lehrerinnen und Lehrer, die sich
schriftlich zur Beachtung der datenschutzrechtlichen Vorschriften
verpflichtet haben, dürfen zur Erfüllung ihrer Aufgaben private
Datenverarbeitungsgeräte zur Verarbeitung personenbezogener Daten von
Schülerinnen und Schülern verwenden; sie unterliegen insoweit der
Überwachung durch den Hamburgischen Datenschutzbeauftragten. 3 Sie
haben sicherzustellen, dass diese Daten vor dem Zugriff Dritter
geschützt sind und spätestens nach dem Ende des jeweils nächsten
Schuljahres gelöscht werden.

http://hh.juris.de/hh/gesamt/SchulG_HA.htm#SchulG_HA_rahmen

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

jfiebig-C2SpHVD68j9/

2006-03-07 10:18:48 UTC

Hallo Marcel

Post by Marcel Noe
So lange die Leute sich nicht
eingeschränkt fühlen und die vorhandene Ausstattung eher als Angebot sehen,
haben sie wenig interesse daran, irgend etwas kaputt zu machen.

ein sehr schöner Ansatz

aber:

"ein Idiot reicht!"
(der kann alle guten Ansätze zunichte machen)

MfG
J. Fiebig

"Jetzt Handykosten senken mit klarmobil - 14 Ct./Min.! Hier klicken"
www.klarmobil.de/index.html?pid=73025

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Marcel Noe

2006-03-07 13:19:26 UTC

Post by jfiebig-C2SpHVD68j9/
"ein Idiot reicht!"
(der kann alle guten Ansätze zunichte machen)

Ja, klar. Aber meistens sind die Idioten ziemlich planlos. Skript Kiddies
kann man durch ein vernünftiges Patchmanagement und ein halbwegs vernünftiges
Sicherheitskonzept das Wasser abgraben.
Ich postuliere einfach mal, dass die Leute, die die Fähigkeiten hätten,
ernsthaft Schaden anzurichten reif genug sind, diese Fähigkeiten konstruktiv
einzusetzen. Ich meine, um solch tiefgehendes Wissen zu erlangen muss man sich
sehr lange und sehr eingehend mit der Materie beschäftigen und das führt in
der Regel dazu, dass man garnicht mehr das Interesse hat, Schaden anzurichten,
weil man ganz andere Dinge tun kann, die zu viel mehr Anerkennung führen.
Und ich glaube das ist genau das, was die meisten Hacker suchen.

Gruss Marcel

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Helmut Hullen

2006-03-07 14:03:00 UTC

Hallo, Marcel,

Post by jfiebig-C2SpHVD68j9/
"ein Idiot reicht!"
(der kann alle guten Ansätze zunichte machen)

Ich postuliere einfach mal, dass die Leute, die die Fähigkeiten
hätten, ernsthaft Schaden anzurichten reif genug sind, diese
Fähigkeiten konstruktiv einzusetzen.

Das hoffe ich ja auch immer noch ...

Viele Gruesse!
Helmut

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Jörg Fiebig

2006-03-07 17:14:53 UTC

Hallo Marcel,

Post by jfiebig-C2SpHVD68j9/
"ein Idiot reicht!"
(der kann alle guten Ansätze zunichte machen)

Ja, klar. Aber meistens sind die Idioten ziemlich planlos. Skript Kiddies
kann man durch ein vernünftiges Patchmanagement und ein halbwegs vernünftiges
Sicherheitskonzept das Wasser abgraben.

hatte ich das echt unter obigen Betreff geschrieben?
Ich war mehr beim Thema "Intranetserver mit Zugriff von aussen" -
Zugriff auf Mail, Chat etc.

Ich denke auch, dass kaum ein Schüler, der es könnte, tatsächlich sich
die Mühe macht, zwei Arkturs zu hacken um dann auf den Sekretärinnen-PC
zu kommen.

--
MfG J. Fiebig
http://www.Erzgebirgskolleg.de
http://www.Fortbildung.istnichtdumm.de
http://www.Arktur.hatdichlieb.de

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Marcel Noe

2006-03-07 23:41:44 UTC

Post by JÃ¶rg Fiebig
hatte ich das echt unter obigen Betreff geschrieben?
Ich war mehr beim Thema "Intranetserver mit Zugriff von aussen" -
Zugriff auf Mail, Chat etc.

Hmm. Meinetwegen auch so. Dazu wollte ich auch noch etwas sagen.
Du bist aber nicht der einzige, der verwirrt ist, ich träume mittlerweile
schon von indeterministischen Turingmaschinen, die Schäfchen zählen...

Post by JÃ¶rg Fiebig
Ich denke auch, dass kaum ein Schüler, der es könnte, tatsächlich sich
die Mühe macht, zwei Arkturs zu hacken um dann auf den Sekretärinnen-PC
zu kommen.

Na ja, zwei Arkturs zu hacken ist nicht aufwendiger als einer, vorrausgesetzt
beide sind ähnlich konfiguriert. Was jetzt nicht heisst, dass es einfach wäre.
Mich würden als Schüler allerdings viel mehr die Lehrer PCs interessieren, denn
dort liegen die Klausuren drauf. Es gab da sogar konkrete Pläne - allerdings
war es einfacher, diese auf dem normalen Weg zu bestehen, als ein
entsprechendes Windows Programm zu schreiben.

Ach ja, und da war da noch unser Physiklehrer, der seine Klausuren auf einem
Atari ST mit einem 9 Nadel Drucker geschrieben hat und deshalb immer von der
Kollegin mit dem Laser Drucker aufgezogen wurde - bis er wohl etwas schnippisch
zu ihr meinte, dass er vermrutlich der einzige an unserer Schule sei, dessen
Klausuren vor mir sicher seien. Daraufhin wurde die Dame wohl etwas blässlich
im Gesicht. ;-) Und nein, passiert ist da wirklich nie was, es hat nur Spass
gemacht, sich zu überlegen, wie man soetwas tun würde.

Gruss Marcel

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Juergen Obermeyer

2006-03-08 09:12:50 UTC

Hallo Marcel!

Zwar habe ich gerade nicht viel Zeit, aber dies hier will ich doch in
aller Kürze loswerden:

[Viel wichtiger Text ausgelassen ...]

Post by Marcel Noe
Und nein, passiert ist da wirklich nie was, es hat nur Spass
gemacht, sich zu überlegen, wie man soetwas tun würde.

Deine Auffassung, die in dieser (und auch deiner vorhergehenden zum
Thema) Mail zum Ausdruck kommt, liegt erheblich näher an meiner Realität
als vieles, was hier zuvor geäußert wurde. Unaufgeregt und sachlich -
das liest sich sehr wohltuend. Danke.

Gruß, Jürgen

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Marcel Noe

2006-03-08 11:09:00 UTC

Post by Juergen Obermeyer
Deine Auffassung, die in dieser (und auch deiner vorhergehenden zum
Thema) Mail zum Ausdruck kommt, liegt erheblich näher an meiner Realität
als vieles, was hier zuvor geäußert wurde. Unaufgeregt und sachlich -
das liest sich sehr wohltuend. Danke.

:-)

Letzendlich sollte man doch nicht vergessen, dass wir "nur" über die Schule
reden. Wenn ein paar Notenlisten oder ähnliches verschwinden, dann entsteht
zwar ein gewisser Schaden und es könnte (nicht zwangsläufig) evtl. zu einer
Klage der Betroffenen kommen (ich halte das für recht unwahrscheinlich),
aber wenn wir mal ehrlich sind, sind da keine wirklich wichtigen Daten
gespeichert (z.B. lagen in meiner ehemaligen Schule alle relevanten Daten
wie z.B. Klausuren, Noten etc. nur in Papierform vor), und vieles von dem,
was in der Verwaltungsdatenbank (IIRC hies das Ding Galileo) gespeichert
war steht sowieso im Jahr- oder Telefonbuch.
Ich denke der Grund für die erhöhte Schutzbedürftigkeit des Verwaltungsnetz
liegt eher daran, dass man verhindern möchte, dass der Verwaltungsproblem
durch Computersabotage lahmgelegt wird (Ich stell mir gerade vor, wie jemand
die Stundenplanentwürfe löscht).

Wirklich kritische Daten liegen z.B. in Krankenhäuser und die sind zum Teil
viel schlechter geschützt als so manche Schulverwaltung - aber dads ist ein
anderes Thema.

Ich tendiere dazu, den sicherheitstechnischen Aspekt absolut zu sehen und
versuche in der Theorie immer die optimale Lösung zu finden - die Berufskrank-
heit des Informatikers halt. Ob sich diese Lösung im Rahmen der gegebenen
Möglichkeiten umsetzen lässt ist natürlich ein ganz anders Thema (deswegen
benutze ich, wo möglich, die Wörter "man könnte" oder "man sollte"). Diese
Ratschläge sind seltens als Kritik zu verstehen (wenn das so ist, dann sage
ich das schon deutlich dazu) sondern eigentlich fast immer als Empfehlung.
Wenn mir etwas an einem Konzept unsicher vorkommt, dann sage ich das auch.
Ich finde die theoretischen Angriffspunkte interessant und ich finde es sehr
wichtig, dass man sich bewusst macht, wo die Lücken seines eigenen Sicherheits-
konzeptes sind. Dannach kann man immer noch evaluieren und entscheiden, dass
die theoretischen Lücken so unwahrscheinlich sind, dass man sich nicht
weiter drum kümmert - aber man sollte immer mit dem unmöglichen rechnen,
dann ist man nie überrascht.

Gruss Marcel

PS: Apropos Theorie: http://i10www.ira.uka.de/info3/klausur/index.html#hs
It was a hell of a lot of fun. ;-)

-------------------------------------------------------------------------
Schul Netzwerk Admin Liste (SCHUL-NETZ-0lvw86wZMd/***@public.gmane.org)
Info, Archiv & FAQ und Abmelden unter: http://www.schul-netz.de

Juergen Obermeyer

2006-03-08 12:31:58 UTC