Hallo Hans-Dietrich , >> Zwei Domains halte ich für >> 1) zu aufwändig > > sehe ich keineswegs so.
.. OK: subnetting war auch aufwändig :-) >> 2) möglicherweise für zu unsicher, denn: ein Schüler könnte das Domadmin >> Passwort herausbekommen und die Domäne wechseln. >> Außerdem haben bei uns alle Windows Arbeitsstationen linbobedingt die >> selben Workstationspasswörter: auch das kann ein Einfallstor sein. > > jetzt hast du mich erwischt. :( > > Ich habe kein Linbo, keine Wächterkarten etc. Damit handeln sich die > Windows-Rechner nach einer bestimmten Zeit (30 Tage?) ein neues Passwort > aus. Wenn das Passwort fest und vielleicht noch bekannt ist, dann macht > natürlich eine Authentifizierung der Rechner gar keinen Sinn mehr. > >> Das Subnetting ist das Werkzeug der Wahl, weil switches viel schwerer an >> zu greifen sind, als Server. > > irgendwo werden die Switche ja auch konfiguriert und mit Passwort(?) > geschützt. Damit sollten doch dieselben Überlegungen wie bei dem > Domadmin-Passwort gelten. Zumindest sehe ich das so. nein: ich stelle die Switches so ein, dass sie nur aus einem admin VLAN konfiguriert werden können. In den SchülerVLANs besitzen sie keine IP: von daher wieder "physikalischer Schutz": ein Angreifer muß in einen geschützen Raum kommen (Serverraum/Lehrerzimmer) um das Netz an zugreifen. > Wir haben bei uns keine managebare Switche. Da ist demzufolge auch > nichts angreifbar. Aber der Vorschlag von Tobias ist trotzdem für mich > goldwert. Ich nutze dann für das Lehrernetz eine andere Netzwerkkarte > als die für das päd. Netz. Das sind dann auch 2 Subnetze im klassischen > Sinne. Aus meiner Sicht kommt man dann selbst mit gestohlenen > Domadmin-Passwort nicht so leicht in das andere Netz, weil er ja in dem > Netz mit der falschen Netzwerkkarte ist (hardwaremäßig). > >> Wir wollen sicher stellen, dass der Zugriff auf das NAS am >> physikalischen Standort des Computers hängt: damit haben wir eine >> physikalische Zugriffskontrolle. > > das habe ich jetzt zwar nicht verstanden. ich meinte damit, dass ein Angreifer eben "persöhnlich" an Ports kommen muss, die in geschützten Räumen sind: sei es Lehrerzimmer für VLAN des LZ oder an admin Ports am Switch selbst: die eben nicht aus dem Switchschrank herausgeführt werden (an eine Dose) sondern nur direkt am Switch abgegriffen werden können. Selbst dann müßte er ja noch den Passwortschutz des Switches überwinden .. obwohl .. die Switches authentifizieren sich ja nicht gegeneinander: er könnte also einen eigenen Switch an den uplink Port zum L3 Switch anstöpseln und sich selbst einen Port an "seinem" Switch ins LZ VLAN hängen .. OK: er müßte immernoch in den Schrank, aber das wäre eher möglich. Aber: bei mir würde er damit auch icht glücklich: das LZ VLAN gibt es nur im Serverswitchschrank und im LZ und nirgendwo sonst .. Dass das so ist war aber keine Überlegung von mir sondern die normale Paranoia die verhinderte dass ich einfach alle VLANS an jeden Switch weiterreiche .. Glück gehabt. Und gut dass wir drüber reden :-) VIele Grüße Holger -- Mein öffentlicher PGP-key ist hier hinterlegt: pool.sks-keyservers.net _______________________________________________ linuxmuster-user mailing list [email protected] https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
