an der (freien) Grundschule meiner Kinder soll nun auch WLAN ausgebaut werden etc. (wobei ich mir bei dem etc. nicht so sicher bin).
Man hat sich ein Angebot für eine Firewall geholt und das soll jetzt eine Securepoint FIREWALL RC200 G5 werden. Mein Problem damit ist, dass dort neben dem Anschaffungspreis (etwas über 1000 Euro) auch noch einen jährliche Lizenz für die Software (nur wenig unter dem Anschaffungspreis!) veranschlagt wird.
Ich stecke da jetzt nicht so tief drin in der Materie - aber
1.) Reicht eine Software-Firewall für so eine kleine Schule (<200 Schüler) nicht völlig aus (OPNsense)?
2.) Was wäre - neben dem wohl vorhandenen Sicherheitsgewinn - ein Vorteil einer Hardware-Lösung?
3.) Welche Hardware bräuchte ich, wenn ich eine OPNsense vorschlagen würde? Wäre das mit einer virtuellen Maschine auf dem Schulserver (Standardinstallation von lmn - was natürlich noch lange nicht im Gespräch ist ) nicht erledigt?
4.) Es hieß, dass die Firewall nicht vom Digitalpakt abgedeckt wäre. Kann das wirklich sein? Oder hat das was damit zu tun, dass es eine Grundschule in freier Trägerschaft ist?
Vielen Dank schon Mal für Eure Einschätzung,
Guntram
Ich stecke da jetzt nicht so tief drin in der Materie - aber
1.) Reicht eine Software-Firewall für so eine kleine Schule (<200
Schüler) nicht völlig aus (OPNsense)?
… ja: Dicke reicht die software Firewall.
Meine Schule: ca. 1400 Nutzer: OPN Sense virtualisiert neben Server und
nextcloud und Dockerhost …
2.) Was wäre - neben dem wohl vorhandenen Sicherheitsgewinn - ein
Vorteil einer Hardware-Lösung?
… ich würde eher von einem „gefühlten“ Sicherheitsgewinn reden.
Jeder der dir eine Hardwarefirewall erkaufen will wird dir erklären wie
viel das Sicherer ist (und professioneller).
… kostet mehr: dann muss es aber auch sicherer sein …
Andere „Vorteile“ kenne ich nicht. Manchmal kommen dann Feature die die
tolle Hardwarefirewall kann, aber die schrottige OPNsense eben nicht …
nur braucht die Feature kaum einer.
3.) Welche Hardware bräuchte ich, wenn ich eine OPNsense vorschlagen
würde? Wäre das mit einer virtuellen Maschine auf dem Schulserver
(Standardinstallation von lmn - was natürlich noch lange nicht im
Gespräch ist ) nicht erledigt?
ja (siehe oben).
… aber auch dur kannst der Schule eine megasichere Hardwarefirewall
hinstellen: installier die OPNsense auf einem alten 4 Kern Rechner mit
SSD und 4 oder 8 GB RAM: fertig ist die Hardwarefirewall (und der
Sicherheitsgewinn der Hardwarefirewall ist dann auch da).
4.) Es hieß, dass die Firewall nicht vom Digitalpakt abgedeckt wäre.
Kann das wirklich sein? Oder hat das was damit zu tun, dass es eine
Grundschule in freier Trägerschaft ist?
die Frage lässt sich so nicht beantworten, da erst einmal geklärt werden muss, was die Firewall überhaupt machen soll. Es kann gut sein, dass Ihr gar keine Firewall benötigt, und wenn doch, dann kann es gut sein, dass eine Software-Firewall reicht.
Insbesondere ist die Frage in erster Größenordnung unabhängig vom Thema WLAN, aber die Securepoint bringt da eine gewisse Funktionalität mit.
Was macht eine Firewall?
Die „bösen“ Verbindungen aus dem Internet fernhalten - Ihr habt vermutlich einen Router mit NAT, der macht das schon.
Content-Filter: Insbesondere an Schulen kann das sinnvoll sein. Hier gibt es verschiedene Wege mit unterschiedlichem Schutzniveau. Ein einfacher Weg ist, einen Jugendschutz-DNS zu verwenden - dazu braucht man keine Firewall. Eine andere Möglichkeit ist, direkt die aufgerufenen Webseiten auf Schlüsselwörter zu prüfen. Das kann z. B. die OPNSense auch. Man sollte sich aber im klaren darüber sein, dass das nur sinnvoll ist, wenn man auch HTTPS-Verbindungen aufbricht, was ich persönlich nicht mag (wegen Datenschutz und so), was man aber - gerade an einer Grundschule - eventuell durchaus wollen kann. Auch das kann die OPNSense. Die Frage ist aber, wer das einrichtet und administriert - bei der Securepoint-Lösung ist das schon dabei. Zu klären ist auch, ob und wenn ja wie und von wem so ein Content-Filter konfiguriert werden soll bzw. kann.
VPN - Ihr wollt von extern in Euer Schulnetz. In kleinem Maßstab kann das schon der Router, wenn das viel genutzt wird, dann ist eine Firewall die bessere Option.
Logging/Reporting: Ist das gewünscht, soll man also nachträglich herausfinden können, wer wann welche Seiten im Internet aufgerufen hat? Das ist im Schulumfeld eventuell sinnvoll, muss aber datenschutzkonform umgesetzt werden.
Dann hat die Securepoint noch sowas wie Virenschutz bei E-Mails. Falls Ihr das überhaupt benötigt, dann gibt es auch andere Lösungen, aber es ist natürlich schon praktisch, wenn das gleich dabei ist.
Und dann gibt es noch Features rund um ein WLAN, vor allem die Frage: wer darf wann ins WLAN, und was darf man dann? Die folgenden Punkte gilt es zu klären (ob Ihr das braucht) und zu prüfen, ob die Securepoint das überhaupt kann (vieles davon kann sie). Es hat eigentlich nichts mit einer Firewall zu tun, aber die Securepoint bringt manches davon mit. Wenn man z. B. Accesspoints von Unifi hat, dann kann vieles davon auch der Controller, den man für sie benötigt.
Schuleigene Geräte sollen ohne Benutzereingriff ins WLAN
Einzelne Benutzer sollen mit persönlichem Passwort ins WLAN
Man soll mit einem Voucher für eine bestimmte Zeit ins Netz können
Manche Benutzer dürfen manchmal ins Internet - das ist besonders trickreich. Bei der LML können z. B. Lehrerinnen und Lehrer für einzelne Personen das WLAN für einen bestimmten Zeitraum freigeben. Das geht im Zusammenspiel der WebUI und der OPNSense. Das kann man aber auch mit Vouchern lösen, was einfacher zu administrieren ist.
Wenn Ihr vor allem diese WLAN-Features benötigt, dann wäre zu prüfen, ob es nicht eine günstigere Variante gibt (Unifi-Controller, OPNSense, …).
Ein sehr gewichtiges Argument ist tatsächlich, wer das alles administriert. Wenn ein Dienstleister das für Euch erledigt und der das mit der Securepoint machen will, dann ist das durchaus sinnvoll. Wenn die Administration an Euch (Dir?) hängt, dann würde ich zu der Lösung greifen, mit der Du klarkommst und für die Du auf einem Weg, der Dir entspricht, guten Support bekommst.
Hallo Guntram,
ich glaube, eine HW-Firewall ist ausfallsicherer, also robuster als ein Server, und ggf. auch leistungsstärker. Für Dein Szenario ist beides absolut nicht nötig.
Für die Entscheidung würde ich Kosten und Komfort abwägen.
Bei mir (1000 User, OPNSense, LML, NextCloud, Collabora, Wiki, MRBS, Koha-Bibliotheksserver,…) genügt ein Virtualisierungsserver. Ich habe aus Komfortgründen (Updates, Lastausgleich zu Corona wegen Jitsi und so weiter) zwei Server, aber einer würde reichen (12 Cores, Ryzen 9)
LG
Max
opnSense reicht als Lösung vollkommen aus, wenn man nicht noch zusätzliche Geschichten wie WebServer- oder E-Mail-Protection braucht. Sprich du betreibst eigene Webserver oder Mail-Server an der Schule und brauchst Schutz für Zero-Day-Lücken (Es wurde eine Schwachstelle gefunden, die sofort ausgenutzt werden kann, und der Software-Entwickler hat für diese Sicherheitslücke noch keine Patches bereitgestellt, aber deine Firewall erkennt das Angriffsmuster und verhindert den Zugriff auf den Server).
Die Frage ist halt immer, wieviel MEHR man braucht.
ich habe jetzt mit den Verantwortlichen geredet und es besteht Offenheit bzgl. einer lmn-Installation :-).
Wir sind jetzt auf der Suche nach einem Dienstleister, der Installation und Support übernehmen könnte. Auf der Händer-Liste (Dienstleister / Händler – linuxmuster.net) findet sich leider niemand in Mitteldeutschland. Gibt es hier im Forum eine Ecke, wo ich nach Dienstleistern suchen kann?
Es gibt jetzt ein Angebot für die Server-Hardware und ich wollte fragen, ob der nach eurer Einschätzung so passen würde für eine lmn-Installation inkl. Firewall für eine Schule mit ca. 200 Schülern, ca. 50 (Windows-)Endgeräten, von denen wohl auch maximal die Hälfte gleichzeitig online sein wird?
TAROX ParX R104ca G8v2 Server
nachfolgender Konfiguration (BTO):
Servergehäuse Rack RM14604 Plus
MB ASUS P12R-M micro ATX + ASMB10
CPU Intel Xeon E-2324G
2x RAM DDR4 16 GB Samsung UDIMM ECC
2x Samsung SSD PM893 960GB 2,5"
Chenbro Rack-Schienensatz
NET Broadcom NetXtreme Dual-Port
Bereits vorhandene bzw. eingekaufte Hardware sind entsprechende Switches und WLAN-APs (habe gerade nicht die Info, welches Modell).
passt ne dritte SSD noch ins Budget, so dass Ihr anstatt nem RAID1 ein RAID5 machen könntet und dann etwas mehr Speicher zur Verfügung habt? Da kommt ja neben dem LMN-Server itself der Platz für die Homes, Images und die OPNsense dazu, oder?
passt ne dritte SSD noch ins Budget, so dass Ihr anstatt nem RAID1 ein
RAID5 machen könntet und dann etwas mehr Speicher zur Verfügung habt?
wenn denen 1TB reichen, dann lass mal die zwei SSDs zu einem RAID1
zusammen schließen… Performanceschub brauchen die da nicht mehr…
Da
kommt ja neben dem LMN-Server itself der Platz für die Homes, Images und
die OPNsense dazu, oder?
50GB OPNsense (so groß ist die bei mir: einfach eine qcow2 Datei)
60TB + 600TB für den lmn Server
Dann hat es noch etwas Platz für virtualisierte Clients …
trotz unserer sehr südlichen Lage arbeiten wir bundesweit und unterstützen Schulträger sowie auch Schulen rund um linuxmuster.net. Wir arbeiten ohnehin überwiegend remote und betreuen einige Kunden in Mittel- und Norddeutschland. Unser Portfolio umfasst auch die Konzeptionierung von Netzwerken samt Ihrer Infrastruktur.
Falls du Unterstützung benötigst, dann melde dich gerne bei uns.
in Sachsen-Anhalt hat das Ministerium für über 20 Millionen für bald 1000 Schulobjekte ein Internetzugang der Telekom mit einer amerikanischen Firewall in einer blauen Kiste liefern lassen. Davon seit Ihr nicht betroffen?
) nicht erledigt?
