Hallo miteienander,
ich hab ein bissle mich mit guacamole beschäftigt als remote accessgateway ins unterrichtsnetz.
Es gibt dafür in edulution noch keine anleitung, aber natrülich die desktop app…
Meine Frage aber ein bissle allgemeiner…
Wenn die virtuellen Maschinen auf proxmox auf Abruf bereitgestellt sind und man sich via keycloak/oidc/edulution dann dort per webbrowser einloggen kann, ich aber für die schüler keine 2FA implementiert habe, dann wäre das ja schon ein bissle unsicher und ein Scheunentor ins interne netz, oder übersehe ich da was?
offen wie ein Scheunentor ist es dann nicht, weil es ja noch den ersten Faktor (Benutzername mit Passwort) gibt, der vor unberechtigtem Zugriff schützt. Bitte gedanklich wegkommen vom Schwarz-Weiß-Denken. Es gibt nicht total/absolut sicher und unsicher, sondern viele Abstufungen und fließende Übergänge dazwischen.
Wie Maurice schon schrieb, welche Befürchtung hast du? Ohne 2FA/MFA sind Brute-Force-Angriffe technisch möglich, d.h. aber nicht automatisch, dass da jeder ins System kommt. Es könnte z. B. andere Gegenmaßnahmen geben, bspw. immer länger werdende Pflichtpausen zwischen den fehlgeschlagenen Anmeldeversuchen oder IP-Sperren mittels Fail2Ban, dass die Anmeldeprotokolle überwacht.
ok sorry. das „scheunentor“ war etwas übertrieben.
keycloak hat auch ein bruteforce schutzmechanismus…
aber es ist halt schon die risiko-abwägung da… wenn ein schlecht abgesichertes schuelerpasswort gehackt wird und jemand fremdes Zungang zu seinem moodle account hat halte ich die Fallhöhe fuer niedriger als wenn er sich auf einer maschine im internen netz einloggen kann.
Dass guacamole an für sich sicher ist, mit 2FA, von dem gehe ich schon aus.
Beim schwarzweiss denken stimme ich ja auch zu.. aber bei risiko abschätzungen gehört halt das worst case szenario mit dazu… und wo ich erst davon begeistert war, bin ich jetzt doch eher vorsichtig bei dem ganzen.
für die lehrer mit 2fa ist es cool.. der nutzen fuer schueler waer weit groesser
ich finde es ja sehr gut sicherheitsbewusst zu sein, damit fängt die Sicherheit erst an.
Was hindert dich denn 2FA in Edu auch für Schüler zu erzwingen ? Oder du machst eine Projektgruppe VDI und diese Nutzer müssen 2FA in Edu verwenden. Das kannst du als Admin für Gruppen ja forcieren.