FAQ:Arktur4/Netzwerksicherheit: Unterschied zwischen den Versionen
Zeile 46: | Zeile 46: | ||
=== Sicherheit im WLAN === | === Sicherheit im WLAN === | ||
Dass in Ihrer Schule WLAN vorhanden ist, wird sich schnell herumsprechen. Schon bevor die ersten Schülergruppen nachmittags mit Notebooks (oder Handhelds) vor der Schule sitzen, sollten Sie sich über die Sicherheit Gedanken machen. | |||
=== scheinbare Sicherheit === | |||
MAC-Adresskontrolle | |||
Wenn Sie nur die eigenen Notebooks über Funk in Ihr Schulnetz einbinden wollen, sollten Sie nur die schuleigenen Rechner mit ihrer bekannten MAC-Adresse zur Anmeldung zulassen und alle anderen ausschließen. | |||
Diese Einstellungen nehmen Sie direkt im Administrationstool des AP vor, nicht in den Arktur-Einstellungen. Lesen Sie daher bitte die Bedienungsanleitung Ihres AP durch. | |||
Beachten Sie schon beim Kauf der AP, dass genügend Adressen eingegeben werden können. | |||
Achtung: Die MAC-Adresse der Funknetzkarte eines schuleigenen Notebooks kann sich jeder Nutzer anzeigen lassen. Er könnte dann einer fremden WLAN-Karte die gleiche MAC-Adresse geben! | |||
Achtung: Durch genügend langes Abhören des Netzes kann man auch die MAC-Adresse bestimmen. | |||
Verstecken der SSID | |||
Wenn Sie einmal im Konfigurationsmenü Ihres AP sind, können Sie auch gleich die Übermittlung der SSID durch den AP abschalten. Damit braucht ein Hacker dann schon Insiderwissen, um auf Ihren AP zugreifen zu können. | |||
Achtung: Jeder Nutzer kann diese SSID auf jedem schuleigenen Notebook im WLAN-Kartenkonfigurationsprogramm im Klartext lesen und es gibt Programme mit denen die SSID ermittelt werden kann. | |||
Achtung: Es gibt Programme die die versteckte SSID innerhalb von Sekunden ermitteln. | |||
Wichtig: Das Verstecken der SSID kann auch im regulären Betrieb zu Problemen führen. | |||
Somit stellt das Verstecken der SSID auch keine echte Sicherheit dar. | |||
WEP-Verschlüsselung | |||
Die WEP-Verschlüsselung sollten Sie nicht einsetzen, da sie in wenigen Minuten von jedem Laptop aus geknackt werden kann. | |||
Abschalten des Funknetzes | |||
Mit etwas Glück reichen Minuten um ein schlecht gesichertes WLAN zu knacken. Es muss ja auch kein Schüler sein, der es versucht. Also kann dies auch während des regulären Einsatzes des WLANs passieren. | |||
=== echte Sicherheit === | |||
WPA-Verschlüsselung | |||
Die Verschlüsselung per WPA setzt voraus, dass Sie eine oder mehrere Zeichenketten generieren und diese sowohl im AP und auf den Notebooks eintragen. Damit wird es nahezu unmöglich, in Ihr Funknetz einzudringen. Natürlich darf dieser Schlüssel den Nutzern nicht bekannt sein. Allerdings verlangsamt dies den Durchsatz Ihres Funknetzes etwas. | |||
Wenn nun ein Gast sein Notebook einmal in Ihr Funknetz einbinden möchte, würden Sie damit Ihre Sicherheitsvorkehrungen unterlaufen. Sie sollten also Fremdgeräte selbst konfigurieren und die Einträge nach der Veranstaltung wieder entfernen. Mit einem USB-Stick stellt das kein Problem dar. | |||
Verschlüsselung | |||
Noch sicherer wird es, wenn die AP - und damit die WLAN-Stationen - über eine separate Netzwerkkarte mit dem Arktur-Schulserver verbunden werden und zusätzlich noch der Datenverkehr per OpenVPN verschlüsselt wird. | |||
Wenn dann noch managebare, lernfähige Switches für die AP genutzt werden, ist Ihr Funknetz sehr sicher. | |||
Kontrollsoftware | |||
(intruder detection) | |||
Wenn Sie einen Computer übrig haben, können Sie alle Anmeldeversuche am Netz (AP, Server, ...) mitprotokollieren lassen. Aber lesen müssen Sie die protokolle natürlich auch! | |||
-> sollte fortgesetzt werden | |||
Der Aufwand für einen Angreifer sollte immer höher sein als der Nutzen, den er aus dem Angriff ziehen kann. |
Version vom 3. Januar 2006, 11:28 Uhr
Welche Absicherung ist nötig?
Der Aufwand für einen Angreifer sollte immer höher sein als der Nutzen, den er aus dem Angriff ziehen kann. Was Sie in Ihrem Netz an wichtigen Daten haben, können sie nur selbst wissen! Allerdings reicht meistens schon die Chance auf einen kostenfreien Internetzugang als Motivation für ein Eindringen in Ihr Netzwerk aus. Auch wenn die meisten Schulen nur einen relativ langsamen Zugang haben, so reicht dieser doch um anonym (oder besser unter dem Namen Ihrer Einrichtung) auf viele weniger legale Internetinhalte zuzugreifen.
Der Zugriff kann über verschiedene Geräte erfolgen:
- Nutzung schuleigener PCs
- Nutzung eigener kabelgebundener Geräte
- Nutzung eigener WLAN-fähiger Geräte
Beispiel:
Jemand will mit einem Brute-Force-Programm das root-Passworte (oder ein Lehrerpassworte) ermitteln.
a) Das Programm kann auf einem Datenträger mitgebracht werden und auf einem schuleigenen PC installiert werden.
b) Das Programm kann auf einem schuleigenen PC aus dem Internet geladen werden.
Hier wäre wichtig, dass Sie die Rechte zum Installieren auf den PCs einschränken. Wenn sich die Nutzer am Netzwerk anmelden müssen um am PC arbeiten zu können, wäre durch die Anmeldung auch nachvollziehbar, mit wessen Benutzerkennung gearbeitet wurde. (nicht wer gearbeitet hat, nur die verwendete Kennung!)
c) Aus obigen Gründen bringt der Angreifer einen eigenes kabelgebundenes Gerät mit. Damit hat er (oder sie) auf dem Gerät (Subnotebook etc. - ein Big-Tower würde auffallen) alle erforderlichen Rechte und auch alle notwendige Software um sein Ziel zu erreichen.
Hier wäre wichtig, dass die Netzwerkdosen nicht unbeaufsichtigt zugänglich sind. Natürlich gibt es noch viele weitere Möglichkeiten um keine fremden Rechner zuzulassen.
d) Da der Angreifer also nicht an die Netzwerkdosen herankommt (und im Unterricht auch keine richtige Ruhe zum Hacken hat) könnte er sich vor die Schule setzen und ein WLAN-fähiges Gerät benutzen. (PDA, Notebook, etc oder vom Nachbarhaus ber PC und ordentlicher Antenne)
Hier hilft es nur sein WLAN sicher zu machen und es ggf. auch abzuschalten.
Für echte Hacker stellt es kein Problem dar, auch eine nicht ausgesendete SSID, einen Benutzernamen incl. zugehörigem Passwort, die WEP-Verschlüsselung bzw. die im Filter eingetragene MAC-Adresse zu ermitteln. Geeignete Programme incl. Anleitung befinden sich im Netz und werden auch von PC-Zeitschriften besprochen.
Im folgenden finden Sie Hinweise, wie Sie die Sicherheit Ihres Netwerkes erhöhen können.
Welchen Aufwand Sie dazu treiben, bleibt Ihnen überlassen, aber:
"Wer einen Schulserver betreibt, hat "die nötige Sorgfalt" walten zu lassen."
Sicherheit als Konzept
Ein Netz ist nie von Haus aus sicher (außer Sie ziehen alle Stecker)! Deshalb besteht die Sicherheit aus vielen Punkten, wie z.B. der Nutzerordnung und ihrer Durchsetzung, der Rechtevergabe am Clientbetriebssystem und am Server, der Stärke der Passwörter und Ihrer Geheimhaltung, der technischen Absicherung (Einrichtung, Aktualität, ..) und ihrer Kontrolle (Erstellen, Lesen und Verstehen von log-Files etc.) und weiterem.
Sicherheit im kabelgebundenen Netz
Sicherheit im WLAN
Dass in Ihrer Schule WLAN vorhanden ist, wird sich schnell herumsprechen. Schon bevor die ersten Schülergruppen nachmittags mit Notebooks (oder Handhelds) vor der Schule sitzen, sollten Sie sich über die Sicherheit Gedanken machen.
scheinbare Sicherheit
MAC-Adresskontrolle
Wenn Sie nur die eigenen Notebooks über Funk in Ihr Schulnetz einbinden wollen, sollten Sie nur die schuleigenen Rechner mit ihrer bekannten MAC-Adresse zur Anmeldung zulassen und alle anderen ausschließen.
Diese Einstellungen nehmen Sie direkt im Administrationstool des AP vor, nicht in den Arktur-Einstellungen. Lesen Sie daher bitte die Bedienungsanleitung Ihres AP durch.
Beachten Sie schon beim Kauf der AP, dass genügend Adressen eingegeben werden können.
Achtung: Die MAC-Adresse der Funknetzkarte eines schuleigenen Notebooks kann sich jeder Nutzer anzeigen lassen. Er könnte dann einer fremden WLAN-Karte die gleiche MAC-Adresse geben!
Achtung: Durch genügend langes Abhören des Netzes kann man auch die MAC-Adresse bestimmen.
Verstecken der SSID
Wenn Sie einmal im Konfigurationsmenü Ihres AP sind, können Sie auch gleich die Übermittlung der SSID durch den AP abschalten. Damit braucht ein Hacker dann schon Insiderwissen, um auf Ihren AP zugreifen zu können.
Achtung: Jeder Nutzer kann diese SSID auf jedem schuleigenen Notebook im WLAN-Kartenkonfigurationsprogramm im Klartext lesen und es gibt Programme mit denen die SSID ermittelt werden kann.
Achtung: Es gibt Programme die die versteckte SSID innerhalb von Sekunden ermitteln.
Wichtig: Das Verstecken der SSID kann auch im regulären Betrieb zu Problemen führen.
Somit stellt das Verstecken der SSID auch keine echte Sicherheit dar.
WEP-Verschlüsselung
Die WEP-Verschlüsselung sollten Sie nicht einsetzen, da sie in wenigen Minuten von jedem Laptop aus geknackt werden kann.
Abschalten des Funknetzes
Mit etwas Glück reichen Minuten um ein schlecht gesichertes WLAN zu knacken. Es muss ja auch kein Schüler sein, der es versucht. Also kann dies auch während des regulären Einsatzes des WLANs passieren.
echte Sicherheit
WPA-Verschlüsselung
Die Verschlüsselung per WPA setzt voraus, dass Sie eine oder mehrere Zeichenketten generieren und diese sowohl im AP und auf den Notebooks eintragen. Damit wird es nahezu unmöglich, in Ihr Funknetz einzudringen. Natürlich darf dieser Schlüssel den Nutzern nicht bekannt sein. Allerdings verlangsamt dies den Durchsatz Ihres Funknetzes etwas.
Wenn nun ein Gast sein Notebook einmal in Ihr Funknetz einbinden möchte, würden Sie damit Ihre Sicherheitsvorkehrungen unterlaufen. Sie sollten also Fremdgeräte selbst konfigurieren und die Einträge nach der Veranstaltung wieder entfernen. Mit einem USB-Stick stellt das kein Problem dar.
Verschlüsselung
Noch sicherer wird es, wenn die AP - und damit die WLAN-Stationen - über eine separate Netzwerkkarte mit dem Arktur-Schulserver verbunden werden und zusätzlich noch der Datenverkehr per OpenVPN verschlüsselt wird.
Wenn dann noch managebare, lernfähige Switches für die AP genutzt werden, ist Ihr Funknetz sehr sicher.
Kontrollsoftware
(intruder detection)
Wenn Sie einen Computer übrig haben, können Sie alle Anmeldeversuche am Netz (AP, Server, ...) mitprotokollieren lassen. Aber lesen müssen Sie die protokolle natürlich auch!
-> sollte fortgesetzt werden
Der Aufwand für einen Angreifer sollte immer höher sein als der Nutzen, den er aus dem Angriff ziehen kann.