FAQ:Arktur4/Netzwerksicherheit

Aus Delixs
Zur Navigation springen Zur Suche springen


Baustelle Archiv: Dieser Artikel beschreibt nicht die Funktionalität des derzeit aktuellen delixs-Servers. Er beschreibt ältere Schulserver-Funktionen und dient dem Zweck der Archivierung.


Welche Absicherung ist nötig?

Der Aufwand für einen Angreifer sollte immer höher sein als der Nutzen, den er aus dem Angriff ziehen kann.

Was Sie in Ihrem Netz an wichtigen Daten haben, können nur Sie selbst wissen! Allerdings reicht meistens schon die Chance auf einen kostenfreien Internetzugang als Motivation für ein Eindringen in Ihr Netzwerk aus. Auch wenn die meisten Schulen nur einen relativ langsamen Zugang haben, so reicht dieser doch, um anonym (oder besser unter dem Namen Ihrer Einrichtung) auf viele weniger legale Internetinhalte zuzugreifen.
Weiterhin können Nutzernamen und Passwörter von Schülern und Lehrern ausgespäht und auch benutzt werden, ohne dass diejenige Person fahrlässig damit umgegangen wäre.

Und bei Spielkindern sollte auch "Ätsch - ich hab's geschafft!" als Motiv nicht unterschätzt werden.

Weiter gibt es regelmässige Versuche von "skript kiddies" und Betreibern von Spam-Schleudern, schlecht geschützte Rechner als Wirtsrechner zu missbrauchen.

Der Zugriff kann über verschiedene Geräte erfolgen:

  • Nutzung schuleigener PCs
  • Nutzung eigener kabelgebundener Geräte
  • Nutzung eigener WLAN-fähiger Geräte
  • Internet-Zugang

Beispiel:

Jemand will mit einem Brute-Force-Programm das root-Passwort (oder ein Lehrerpasswort) ermitteln.

  1. Das Programm kann auf einem Datenträger (z.B. USB-Stick) mitgebracht und auf einem schuleigenen PC installiert werden.
  2. Das Programm kann auf einem schuleigenen PC aus dem Internet geladen werden.
    Hier wäre wichtig, dass Sie die Rechte zum Installieren auf den PCs einschränken. Wenn sich die Nutzer am Netzwerk anmelden müssen, um am PC arbeiten zu können, wäre durch die Anmeldung auch nachvollziehbar, mit wessen Benutzerkennung gearbeitet wurde (nicht wer gearbeitet hat, nur die verwendete Kennung).
  3. Aus obigen Gründen bringt der Angreifer einen eigenes kabelgebundenes Gerät mit. Damit hat er (oder sie) auf dem Gerät (Subnotebook etc. - ein Big-Tower würde auffallen) alle erforderlichen Rechte und auch alle notwendige Software, um sein Ziel zu erreichen.
    Hier wäre wichtig, dass die Netzwerkdosen nicht unbeaufsichtigt zugänglich sind. Natürlich gibt es noch viele weitere Möglichkeiten, um keine fremden Rechner zuzulassen.
  4. Da der Angreifer also nicht an die Netzwerkdosen herankommt (und im Unterricht auch keine richtige Ruhe zum Cracken hat) könnte er sich vor die Schule setzen und ein WLAN-fähiges Gerät benutzen (PDA, Notebook, etc oder vom Nachbarhaus per PC und ordentlicher Antenne).
    Hier hilft es nur, sein WLAN sicher zu machen und es ggfs. auch abzuschalten.


Für echte Hacker stellt es kein Problem dar, auch eine nicht ausgesendete SSID, einen Benutzernamen incl. zugehörigem Passwort, die WEP-Verschlüsselung bzw. die im Filter eingetragene MAC-Adresse zu ermitteln. Geeignete Programme incl. Anleitung befinden sich im Netz und werden auch von PC-Zeitschriften besprochen.


Im folgenden finden Sie Hinweise, wie Sie die Sicherheit Ihres Netwerkes erhöhen können. Welchen Aufwand Sie dazu treiben, bleibt Ihnen überlassen, aber:

"Wer einen Schulserver betreibt, hat "die nötige Sorgfalt" walten zu lassen."

Sicherheit als Konzept

Ein Netz ist nie von Haus aus sicher (außer Sie ziehen alle Stecker)! Deshalb besteht die Sicherheit aus vielen Komponenten, wie z.B. der Nutzerordnung und ihrer Durchsetzung, der Rechtevergabe am Clientbetriebssystem und am Server, der Stärke der Passwörter und ihrer Geheimhaltung, der technischen Absicherung (Einrichtung, Aktualität, ..) und ihrer Kontrolle (Erstellen, Lesen und Verstehen von log-Files etc.) und weiterem.

Sicherheit im kabelgebundenen Netz

Sicherheit im WLAN

Dass in Ihrer Schule WLAN vorhanden ist, wird sich schnell herumsprechen. Schon bevor die ersten Schülergruppen nachmittags mit Notebooks (oder Handhelds) vor der Schule sitzen, sollten Sie sich über die Sicherheit Gedanken machen.


scheinbare Sicherheit

MAC-Adresskontrolle

Wenn Sie nur die eigenen Notebooks über Funk in Ihr Schulnetz einbinden wollen, sollten Sie nur die schuleigenen Rechner mit ihrer bekannten MAC-Adresse zur Anmeldung zulassen und alle anderen ausschließen.

Diese Einstellungen nehmen Sie direkt im Administrationstool des AP vor, nicht in den Arktur-Einstellungen. Lesen Sie daher bitte die Bedienungsanleitung Ihres AP durch.

Beachten Sie schon beim Kauf der AP, dass genügend Adressen eingegeben werden können.

Achtung: Die MAC-Adresse der Funknetzkarte eines schuleigenen Notebooks kann sich jeder Nutzer anzeigen lassen. Er könnte dann einer fremden WLAN-Karte die gleiche MAC-Adresse geben!

Achtung: Durch genügend langes Abhören des Netzes kann man auch die MAC-Adresse bestimmen.

Somit stellt das Aktivieren des MAC-Adress-Filters keine echte Sicherheit dar.

Verstecken der SSID

Wenn Sie einmal im Konfigurationsmenü Ihres AP sind, können Sie auch gleich die Übermittlung der SSID durch den AP abschalten. Damit braucht ein Hacker dann schon Insiderwissen, um auf Ihren AP zugreifen zu können.

Achtung: Jeder Nutzer kann diese SSID auf jedem schuleigenen Notebook im WLAN-Kartenkonfigurationsprogramm im Klartext lesen, und es gibt Programme, mit denen die SSID ermittelt werden kann.

Achtung: Es gibt Programme, die die vermeintlich versteckte SSID innerhalb von Sekunden ermitteln.

Wichtig: Das Verstecken der SSID kann auch im regulären Betrieb zu Problemen führen.

Somit stellt das Verstecken der SSID auch keine echte Sicherheit dar.

WEP-Verschlüsselung

Die WEP-Verschlüsselung sollten Sie nicht einsetzen, da sie in wenigen Minuten von jedem Laptop aus geknackt werden kann.

Somit stellt das Aktivieren der WEP-Verschlüsselung auch keine echte Sicherheit dar.

Abschalten des Funknetzes

Mit etwas Glück reichen Minuten, um ein schlecht gesichertes WLAN zu knacken. Es muss ja auch kein Schüler sein, der es versucht. Also kann dies auch während des regulären Einsatzes des WLANs passieren.


echte Sicherheit

WPA-Verschlüsselung

Die Verschlüsselung per WPA setzt voraus, dass Sie eine oder mehrere Zeichenketten generieren und diese sowohl im AP als auch auf den Notebooks eintragen. Damit wird es nahezu unmöglich, in Ihr Funknetz einzudringen. Natürlich darf dieser Schlüssel den Nutzern nicht bekannt sein. Allerdings verlangsamt dies den Durchsatz Ihres Funknetzes etwas.

Wenn nun ein Gast sein Notebook einmal in Ihr Funknetz einbinden möchte, würden Sie damit Ihre Sicherheitsvorkehrungen unterlaufen. Sie sollten also Fremdgeräte selbst konfigurieren und die Einträge nach der Veranstaltung wieder entfernen. Mit einem USB-Stick stellt das kein Problem dar.


Verschlüsselung

Noch sicherer wird es, wenn der AP - und damit die WLAN-Stationen - über eine separate Netzwerkkarte mit dem Arktur-Schulserver verbunden wird und zusätzlich noch der Datenverkehr per OpenVPN verschlüsselt wird.

Wenn dann noch managebare, lernfähige Switches für die AP genutzt werden, ist Ihr Funknetz sehr sicher.


Kontrollsoftware, "root kits"

(intrusion detection)

Wenn Sie einen Computer übrig haben, können Sie alle Anmeldeversuche am Netz (AP, Server, ...) mitprotokollieren lassen. Aber lesen müssen Sie die Protokolle natürlich auch!

-> sollte unbedingt fortgesetzt werden


Der Aufwand für einen Angreifer sollte immer höher sein als der Nutzen, den er aus dem Angriff ziehen kann.



zurück | Hauptseite