Installationshandbuch:Systemsicherheit

Aus Delixs
Zur Navigation springen Zur Suche springen


Baustelle Archiv: Dieser Artikel beschreibt nicht die Funktionalität des derzeit aktuellen delixs-Servers. Er beschreibt ältere Schulserver-Funktionen und dient dem Zweck der Archivierung.


Das Sicherheitsmenü

In der Sysadm-Oberfläche finden Sie unter dem Menüpunkt Verwalten - Firewall ein Menü, in dem verschiedene sicherheitsrelevante Dienste ein- und ausgeschaltet werden können. Das Bild zeigt die Ausgangslage nach der Installation.


Das Sicherheitsmenü
Abbildung: Das Sicherheitsmenü


Erläuterung der einzelnen Menüpunkte

Firewall

Die 'Firewall' sollte immer eingeschaltet sein. Nur zu Kontroll-Zwecken bietet sich eine Abschaltung an, oder wenn der Server ausschließlich in einem geschützten, vertrauenswürdigen Netzbereich arbeitet (was eigentlich nicht dem erwarteten Einsatzbereich entspräche ;-).

Ping

Ermöglicht es dem Server, auf 'Internet-Kontroll-Pakete' zu antworten. Das ist erforderlich, damit Arktur zum Beispiel auf 'ping'-Anfragen reagiert. Somit ist der Server im Netzwerk und auch im Internet 'sichtbar'. Zugleich steigt die Gefahr von unberechtigten Zugriff-Versuchen! Sie können diese Funktion sperren und nur dann einschalten, wenn System- und Netzwerk-Pflegearbeiten die Nutzung von ICMP-Paketen erfordern.

SSH

Erlaubt den SSH-Zugriff aus dem Internet auf den Arktur-Schulserver. Da jeder verfügbare Service eine zusätzliche Gefahrenquelle bedeutet, ist es auch für diesen Dienst besser, darauf zu verzichten. Wird ein Terminalzugang benötigt, so ist "SSH" dem alternativen "Telnet" im allgemeinen vorzuziehen.

FTP

Erlaubt den ftp-Zugriff aus dem Internet auf den Arktur-Schulserver. Da jeder verfügbare Service eine zusätzliche Gefahrenquelle bedeutet, ist es auch für diesen Dienst besser, darauf zu verzichten. Gerade ein ftp-Server wird gern zum Tauschen von verbotenen Dateien genutzt.

VPN

Erlaubt den Zugriff aus dem Internet auf den Arktur-Schulserver mittels OpenVPN. Das Einschalten des Zugriffes öffnet in der Firewall den Port für Datenpakete. Ein OpenVPN-Server oder ein OpenVPN-Client wird nicht automatisch mit gestartet.

HTTP

Erlaubt den http-Zugriff aus dem Internet auf den Arktur-Schulserver. Da jeder verfügbare Service eine zusätzliche Gefahrenquelle bedeutet, ist es auch für diesen Dienst besser, darauf zu verzichten.

NAT

Ermöglicht es Rechnern aus dem lokalen Netzwerk, direkte Verbindungen zu Internet-Servern herzustellen. Jeder denkbare Dienst kann dann genutzt werden. Steht diese Funktion nicht bereit, so ist für lokale Arbeitsrechner nur der Zugang zu HTTP- FTP- Mail- und News-Diensten möglich, die von Arktur als 'proxy'-Service bereitgestellt werden. Das ermöglicht eine bessere Kontrolle der Aktivitäten.


Zusammenfassung

Im default-Modus sind eingeschaltet:

   * Firewall
   * Ping-Antwort
   * NAT (IP-Maquerading)

Im default-Modus sind ausgeschaltet:

   * Der Zugriff von draussen auf den Webserver (HTTP)
   * Der Zugriff von draussen mittels OpenVPN
   * Der Zugriff von draussen auf den FTP-Server
   * Der Zugriff von draussen auf den SSH-Server



zurück | Hauptseite