Dela nettverk på skule - korleis?

[Haaland]

Eg er elev ved ein vidaregåande skule i Rogaland, der ei gruppe elevar har kjøpt bærbare PC-ar blant anna med tanke på å bruka dei på skulen. I denne samanhengen ønskjer me sjølvsagt òg å få tilgang til skulens nettverk, for å kunna bruka våre heimeområde og internett. Problemet er at skulen nektar oss å i det heile kopla oss til skulen sitt nettverk. Grunngjevinga er at det er fare for at me kan spreia virus og/eller ormar på resten av nettverket, i tillegg til faren for at nokon av oss kan bryta oss inn på skulen sine tenarar.

 

Dette er jo sjølvsagt reelle farar slik nettverket er bygd opp i dag, men me trur det vil vera mogleg å gjera endringar for å fjerna desse farane. Problemet er at me ikkje har kompetanse nok til å føreslå ei praktisk løysing, difor spør me her og håpar på å få nokre tips.

 

Me har forstått det slik at blant anna NTNU brukar både opne trådlause sonar og vanlege nettverksstikk der elevar og andre kan koma med eigne (bærbare) PC-ar og kopla seg til slik som dei vil. Korleis er dette sett opp for å unngå spreiing av ormar/virus over til resten av nettverket? Me antek at ei liknande løysing kan brukast på vår skule, men kva utstyr trengs i så fall, og kor mykje vil det kosta?

 

Tanken er å skriva eit formelt brev til skulen, der me føreslår korleis ein kan løysa problemstillinga reint praktisk, og me ville setja stor pris på all hjelp til dette!

[TheBoz]

Dette viser en del mangel på kunskap fra skolen, men noe er jo fornuftig. Er ikke bare bare å la hvilken som helst laptop komme inn på et nett. En løsning på det er å sette opp trådløst nett, med en brannmur mellom dette nettet og hovednettet, der det i brannmuren blir satt opp regler for hva det trådløse nettet skal ha tilgang til. Billigeste løsningen her er vel en linux boks, men det er ikke sikkert de har kompetanse nok til dette.

 

En annen viktig ting er at skolen setter opp faste regler for hva som skal være tillatt og ikke. Noe båndbreddekontroll har vel kanskje også vært smart sånn at ikke disse laptopene kan spise opp all båndbredden på skolen.

 

Dette var kanskje et litt ufulstendig svar, men i alle fall litt og tenke over og kanskje komme med ideer fra flere her!

Endret 19. august 2004 av TheBoz

[sumptrollet]

Me har forstått det slik at blant anna NTNU brukar både opne trådlause sonar og vanlege nettverksstikk der elevar og andre kan koma med eigne (bærbare) PC-ar og kopla seg til slik som dei vil. Korleis er dette sett opp for å unngå spreiing av ormar/virus over til resten av nettverket? Me antek at ei liknande løysing kan brukast på vår skule, men kva utstyr trengs i så fall, og kor mykje vil det kosta?

Aner ikke hva de driver med på NTNU, men på UiO så kreves det at man kobler opp via VPN for å bruke WLAN ol. Ormer/virus og drit blir du ikke kvitt på denne måten uansett, men du har iallefall mulighet til å finne ut hvem det kommer fra.

[dostojevski]

For NTNUs del gjelder det også at en må bruke VPN for aksess fra WLAN. Men på mange lesesaler og grupperom er det nettverksplugger hvor alt en trenger er en droppkabel, du må ikke engang autentiseres.... (Det var ihvertfall sånn for to år siden.)

 

Antagelig er ikke problemet på skolen deres manglende teknologi men manglende kompetanse. Hvis ikke sysadmin har kunnskap og/eller ressurser til å sikre nettet skikkelig er den linjen han/hun ligger på nå den ENESTE fornuftige.

 

Hvis dere likevel skal foreslå en løsning kan jo det kanskje være å la dere jobbe på remote desktop fra en wlan-sone som KUN får aksessere skolens nett og KUN via RDP-porten, og KUN til terminalserveren . Dere vil da kunne logge inn på skolenettet via deres egne maskiner, men lokale programmer (annet en RDP-klienten) kan ikke snakke med skolens servere. Dette forutsetter selvsagt at skolen har eller har råd til en terminalserver. (= En sever hvor brukere kan logge inn og arbeide fra en eller annen terminal. Du jobber altså på serveren, ikke på din lokale maskin.)

 

Altså, for å "tegne" litt:

 

  
      _________
     |   Laptop   |
     | ________|- - 
                         :                                (Åpen for KUN for trafikk
     (RDP-klient)  :                                  på port 3389 og KUN til ip n.n.n.10)
                    _________________          _________
                   | WLAN-aksesspunkt|--------|Brannmur|
                   |________________|          |________|  
                                                                       |             
                                                                       |             
                                                                       |
                                                                       |
                                                                       |
                             (Skolens elevnett)------------------------------------------.
                                                           :          :         :                          :
                                                       __:__   __:__    _:_______              :
                                                      |  PC |  | PC  |   | Filserver |             :
                                                      |____|  |____|   |________|             :
                                                                                                           :
                                                                                                           :
                                                                                        ___________:___
                                                                                        | Terminalserver |
                                                                                        |______________|  
                                                                                            (IP=n.n.n.10)

 

 

 

Hvis skolen allerede har en terminalserver og feks. tynne klienter er ikke dette så vanskelig å implementere. Hvis dere derimot i dag har en stort sett PC-basert løsning kan det fort bli DYRT siden skolen i tillegg til server, brannmur og x ant. aksesspunkt også må ha flerbrukerlisenser til all software på terminalserveren. (OS, Office etc.) Evt. kan de jo selvsagt velge å kjøre Open Office.

 

Denne løsningen bør være rimelig trygg sett fra skolens ståsted, men dere får altså ikke "fri tilgang" til skolenettet...

Endret 20. august 2004 av dostojevski

[reset]

Det trenger ikke bli dyrt og det trenger ikke være vanskelig. Jeg har satt opp nettverk på tre skoler i jobbsammenheng der de ønsker en elevdel, en lærerdel og en internett forbindelse.

 

Et eksempel på en rimelig og enkel løsning kan være:

 

Lærer nett -FW-> Elevnett -FW/GW-> Internett

 

Lærer nettet har altså elevnett fw/gw som gw..

 

på den måten vil du ha to seperate nett hvor lærerne vil ha tilgang til elevnettet og internett, mens elevnettet vil kun ha tilgang til internett.. Nå vet ikke jeg hvor stort miljøet er, og hva slags kostnadsrammer dere har å forholde dere til -men det burde ikke koste skjorta å få til scenariet ovenfor (forutsatt at noen ønsker å gjennomføre det..) Skal det være trådløs tilkobling til begge nett, kan man f.eks sette inn et aksess punkt i lærernettet og et i elevnettet (ap-lærer, ap-elev). lærerne kan koble til ap-lærer som er patchet i lærer nettet, og elevene kobler til ap-elev som er patchet inn i elev nettet. Trådløs tilkobling forutsetter at de trådløse boksene settes opp skikkelig (for at sikkerheten skal være på plass), mac filtrering og wep kryptering burde tilfredstille de fleste behov med tanke på sikkerhet. Det kan også implementeres mer avanserte sikkerhetsløsninger i forhold til det trådløse, men det er ofte kostbart og veldig overdrevet i forhold til behovet slik jeg ser det her..

[reset]

PS.. når det gjelder tilgang til elevenes hjemmeområder, så bør alt som er elev relatert flyttes over til elevnettet (lærerene har tilgang hit). Problemet med terminal server forslaget fra dostojevski, er at du bare løser halve problemet.. kobler du til en terminal server i "lærer" delen av nettverket vil brukeren som jobber på terminalserveren "sitte" i lærer delen med den risikoen det innebærer. Ha alltid i bakhodet at når man implementerer en slik løsning er det viktig å ta utgangspunkt i "worst case scenario", jeg tviler ikke på at dere er greie gutter/jenter som ikke kommer til å finne på noe tull. men skal skolen implementere en løsning som gir elevene tilgang til internett/lokalnett bør man ta utgangspunkt i at ikke alle bare er snille, og implementere en løsning som tar høyde for at ting kan/vil skje på sikt.

[Evilman]

så lenge det er ett windows nettverk så trenger man rettigheter på share så virus som nimda og andre virus som bruker dette ikke vil få tilgang vis dem ikke har gjort no utrolig dumt da.

 

ha en anti virus klient på den enkelte maskinen samt tjenerne.

sette opp en brann mur for de nødvendige portene disse bærbare trenger

samt sette opp en trådløs some med wep kryptering eller mac addresse filtrering

 

og ja det fines MANGE løsninger,

[dostojevski]

En liten komentar til reset:

 

Hvis du ser på skissen min ser du at jeg eksplisitt har angitt at terminalserveren er tilknyttet skolens ELEV-nett. Nettop for som du sier å skape vanntett skille mellomm lærer/elev-nett. Jeg forutsetter altså en nettverksarkitektur ala det du beskriver.

 

Problemet med løsningen du skisserer er at den krever en mer robust praksis for å forhindre ondsinnet kode å løpe løpsk på nettverket. Hvis en tillater elevers private laptoper å logge på skolens domene er en plutselig mottagelig for all styggedom som måtte befinne seg på P3r L33t 17 år sin laptop. Sier ikke at dette problemet ikke kan løses, men det krever mer enn to brannmurer å løse det.

 

Er altså enig i at du skisserer en fornuftig arkitektur for nettverket, men jeg er ikke enig i at det er noen lur plan å la maskiner sysadmin ikke har kontroll på hva inneholder få lov til å koble seg direkte til elevsonen.

[reset]

dostojevski, tror jeg var litt rask med tegningen din, så ikke elevnett "parantesen". Skal ikke være så rask neste gang.

[RobinHood]

to vpn

[Denethor]

Noko liknande skjedde på ungdomsskulen.. Eg vert nekta tilgang til internett med nett dei samme grunnene av nettverks ansvarleg.. Siden eg kjente ein som var lærling på skulen og spørte han om hjelp, han sa at det berre var å plugge i pc-en og ta pluggen utav dersom nettverksansvarleg vert litt sur på meg. Dette virket lett, og eg gjorde som så.. Seinare kom nettverks ansvarleg inn til meg og bedde meg ta min bærbare maskin utav nettverket deira. Eg brukte da ei veke på å finne på noko nytt, det fant eg til slutt: Å sette opp trådlaust nettverk!

 

Siste månden eg var på skulen, fekk eg altså internett slik, og nettverks ansvarleg var å snakka med meg, men då eg satt midt i rommet såg han jo at eg ikkje hadde internett, og han fant alder ut kvar eg hadde aksess-punktet mitt heller (for det hadde ikt-lærlingen sotte opp bak ein server pc)

 

Trur ikkje skulen hadde så mykje ekstra bry med at eg satt der med min bærbare pc.. Eg kjørte norton antivirus også, så det vert heller ingen virus spredning gjennom min maskin :-)

[reset]

Sånne ting gjør man bare ikke. Hadde det nettverket vært mitt ansvar, hadde lærlingen fått sparken.

 

seriøst!

[Haaland]

Takk for mange gode tips! Eg har vore bortreist i helga, og har ikkje fått moglegheiten til å svara før nå.

 

Det som verkar mest interessant, er vel å setja opp eit trådlaust nettverk for internettilgang, med ein brannmur mot tråd-nettverket. Dersom ein opnar for VPN-tilgang mot Windows-tenarane, vil då ormar som MSBlaster o.l. kunna spreia seg til elevnettverket gjennom denne VPN-tilkoplinga?

 

Terminal-tenar-løysinga kunne òg vore interessant, men eg er redd dette vil bli for dyrt, med tanke på at det ikkje eksisterer ein terminal-tenar på nettverket no.

[Torbjørn]

litt avhengig av budsjettmuligheter kan det anbefales å sette opp en managed switch som ikke tillater oppkoblinger mellom klientpcer. dvs at du som elev A ikke får lov til å initiere forbindelser til elev B (der skal du normalt ikke har noe å gjøre heller), men bare tillate oppkoblinger til servere og gateways.

 

med en managed switch går dette an. en høkkert-løsning er å dele ut nettmaske 255.255.255.255 til windows klienter. den vil da sende all trafikk gjennom dhcpserveren, og i den kan man så filtrere trafikken for å skåne andre pc'er. Om dette er en bug eller feature kan diskuteres.

 

På andre nettverksnoder som printere og linuxklienter vil dette ikke fungere, så det krever litt planlegging (sannsynligvis en liten MAC-database). Og brukere kan isåfall overstyre dhcp og sette egne ip parametere, så det er en dårlig høkkertløsning, men kan være noe å ha i bakhodet.

[dostojevski]

Løsningsksisse nummer to (billigere og bedre tror jeg):

 

Legg inn en egen "laptopsone" med WLAN. Altså en branmur nummer tre. Dermed kan en effektivt hindre adgang utenfra til klientene i elevnettet, mens en kan åpne FW2 for tilgang til servertjenester (hjemmeområde).

 

Vi har altså:

 

lærernett -> FW3 -> elevnett -> FW2 -> "laptopsone"/DMZ -> FW1/GW -> Internett & Verdens Ondskap

 

(...Eller tenker jeg i krøss her nå...?)

 

 

Ang. spørsmål om VPN: Nei, i utgangspunktet vil vel ikke dette hindre ormer etc. Du må i tilfellet ha en eller annen filtrering mellom VPN-konsentrator og resten av nettet, og det er jo i praksis egentlig den samme løsningen som jeg skisserer fem linjer ovenfor her.

 

Men det ER en god ide å la all trafikk som kommer fra WLAN gå via VPN. En omgår da hele problemet med kryptering av WLAN og kan sette "alle sluser åpne" siden den eneste maskinen en får adgang til fra WLAN er en slem og streng VPN-server som kun vil la deg leke hvis du kan det magiske passordety ditt. Vi får altså:

 

lærernett -> FW -> elevnett -> FW -> DMZ m/VPN-server ->FW/GW -> Evil Net
                                                                  ^
                                                                   |
                                                                   |
                                                      WLAN->FW
          

 

Tror vi nærmer oss nå, men dette begynner jo å kreve sitt av den som skal implementere og drifte skiten.

Endret 23. august 2004 av dostojevski

[Torbjørn]

kan du samtidig foreslå egnede vpnservere og vpnklienter?

[dostojevski]

Er egentlig ikke veldig oppdatert på det, men:

 

- Windows har både server og klient. Hvorvidt denne løsningen er god nok tør jeg ikke uttale meg om. (Bruker den riktignok hjemme selv, men det betyr jo ikke at den holder vann i en proff sammenheng...)

 

- NTNU benytter VPN-løsning fra Cisco.

[Zamoht]

Noko liknande skjedde på ungdomsskulen.. Eg vert nekta tilgang til internett med nett dei samme grunnene av nettverks ansvarleg.. Siden eg kjente ein som var lærling på skulen og spørte han om hjelp, han sa at det berre var å plugge i pc-en og ta pluggen utav dersom nettverksansvarleg vert litt sur på meg. Dette virket lett, og eg gjorde som så.. Seinare kom nettverks ansvarleg inn til meg og bedde meg ta min bærbare maskin utav nettverket deira. Eg brukte da ei veke på å finne på noko nytt, det fant eg til slutt: Å sette opp trådlaust nettverk!

 

Siste månden eg var på skulen, fekk eg altså internett slik, og nettverks ansvarleg var å snakka med meg, men då eg satt midt i rommet såg han jo at eg ikkje hadde internett, og han fant alder ut kvar eg hadde aksess-punktet mitt heller (for det hadde ikt-lærlingen sotte opp bak ein server pc)

 

Trur ikkje skulen hadde så mykje ekstra bry med at eg satt der med min bærbare pc.. Eg kjørte norton antivirus også, så det vert heller ingen virus spredning gjennom min maskin :-)

Perfekt eksempel på utro tjenere i IT bransjen!

 

Dette er i utgangspunktet en helt forkastelig løsning og det åpner nettet slik at det er sårbart for angrep.

 

Så lenge it-ansvarlig ikke har godkjent "prosjektet" deres, grenser dette til det ulovelige.

[reset]

Ønsker du en gratis "vpn" løsning har jeg følgende forslag. Linux har en pptp server som heter Poptop (http://www.poptop.org). Den er kompatibel med pptp klientene som er bygd inn i windows helt tilbake til w95 (du trenger en patch i windows 95/98 for å få 128bits kryptering -søk etter: dune på technet). Det fine med poptop (pptp) er selvfølgelig at den er gratis -og at den er kompatibel med alle windows versjoner, men også at den kan settes opp til å autentisere ved hjelp av radius. Det vil altså si at du kan opprette brukere i f.eks Active directory (f.eks. i en egen OU) og la linuxboxen sende autentiserings forespørselene til radius serveren, som sjekker brukernavn og passord angitt i klienten opp mot brukerkontoene i domenet. Radius tjenesten er satt opp med et par klikk på w2k server. har du ikke jobbet med linux og synes dette høres ut som "litt av et prosjekt", så kan du prøve en cd-rom basert distro som heter m0n0wall (egentlig en liten bsd distro men dog..) m0n0wall har innebygget pptp server og mulighet for opprettelse av lokale pptp brukere, eller radius autentisering. Jeg satt opp en slik boks på 20min (inkl konf av windows serveren), og alt fungerte på første forsøk. Ønsker du å ha mer kontroll på det du driver med, og gjøre ting fra scratch så er det helt klart det beste -men jeg regner med at du blir veldig fornøyd med hvordan m0n0wall fungerer. vpn versjonen til microsoft er (naturlig nok )en omdiskutert greie (i hvertfall i linux miljøet), og jeg orker ikke en diskusjon på det her.. Selv foretrekker jeg ipsec, men ser helt klart områder der pptp er å foretrekke. I dette tilfellet hadde jeg gått for denne løsningen uten å blunke. Poptop har fungert veldig bra for meg, og jeg kan godt hjelpe deg videre hvis du velger å prøve løsningen.

[Haaland]

Eg må igjen få takka for alle svar! Det har vore til stor hjelp, og no har me levert eit brev til skulen med eit forslag basert på dostojevski sitt siste svar. Me får sjå kva som skjer vidare.

 

reset: Poptop høyrest ut til å vera ei svært interessant løysing. Takk for tipset!