FAQ:Arktur4/Netzwerksicherheit
Welche Absicherung ist nötig?
Der Aufwand für einen Angreifer sollte immer höher sein als der Nutzen, den er aus dem Angriff ziehen kann. Was Sie in Ihrem Netz an wichtigen Daten haben, können sie nur selbst wissen! Allerdings reicht meistens schon die Chance auf einen kostenfreien Internetzugang als Motivation für ein Eindringen in Ihr Netzwerk aus. Auch wenn die meisten Schulen nur einen relativ langsamen Zugang haben, so reicht dieser doch um anonym (oder besser unter dem Namen Ihrer Einrichtung) auf viele weniger legale Internetinhalte zuzugreifen.
Der Zugriff kann über verschiedene Geräte erfolgen:
- Nutzung schuleigener PCs
- Nutzung eigener kabelgebundener Geräte
- Nutzung eigener WLAN-fähiger Geräte
Beispiel:
Jemand will mit einem Brute-Force-Programm das root-Passworte (oder ein Lehrerpassworte) ermitteln.
a) Das Programm kann auf einem Datenträger mitgebracht werden und auf einem schuleigenen PC installiert werden.
b) Das Programm kann auf einem schuleigenen PC aus dem Internet geladen werden.
Hier wäre wichtig, dass Sie die Rechte zum Installieren auf den PCs einschränken. Wenn sich die Nutzer am Netzwerk anmelden müssen um am PC arbeiten zu können, wäre durch die Anmeldung auch nachvollziehbar, mit wessen Benutzerkennung gearbeitet wurde. (nicht wer gearbeitet hat, nur die verwendete Kennung!)
c) Aus obigen Gründen bringt der Angreifer einen eigenes kabelgebundenes Gerät mit. Damit hat er (oder sie) auf dem Gerät (Subnotebook etc. - ein Big-Tower würde auffallen) alle erforderlichen Rechte und auch alle notwendige Software um sein Ziel zu erreichen.
Hier wäre wichtig, dass die Netzwerkdosen nicht unbeaufsichtigt zugänglich sind. Natürlich gibt es noch viele weitere Möglichkeiten um keine fremden Rechner zuzulassen.
d) Da der Angreifer also nicht an die Netzwerkdosen herankommt (und im Unterricht auch keine richtige Ruhe zum Hacken hat) könnte er sich vor die Schule setzen und ein WLAN-fähiges Gerät benutzen. (PDA, Notebook, etc oder vom Nachbarhaus ber PC und ordentlicher Antenne)
Hier hilft es nur sein WLAN sicher zu machen und es ggf. auch abzuschalten.
Für echte Hacker stellt es kein Problem dar, auch eine nicht ausgesendete SSID, einen Benutzernamen incl. zugehörigem Passwort, die WEP-Verschlüsselung bzw. die im Filter eingetragene MAC-Adresse zu ermitteln. Geeignete Programme incl. Anleitung befinden sich im Netz und werden auch von PC-Zeitschriften besprochen.
Im folgenden finden Sie Hinweise, wie Sie die Sicherheit Ihres Netwerkes erhöhen können.
Welchen Aufwand Sie dazu treiben, bleibt Ihnen überlassen, aber:
"Wer einen Schulserver betreibt, hat "die nötige Sorgfalt" walten zu lassen."