Klassenarbeitsmodus + Portisolation

Server Schulkonsole
#1

Hallo zusammen,

eine der Schwachstellen im Klassenarbeitsmodus besteht darin, dass zwar das Internet gesperrt ist, aber die Kommunikation der PCs innerhalb des/der Netze/s weiter möglich ist, selbst wenn man Raumnetze eingerichtet hat, und so die Möglichkeit besteht, dass Schüler ggf. über Freigaben ihre Ergebnisse untereinander tauschen. Eine Möglichkeit die Kommunikation der Geräte untereinander zu unterbinden, besteht in der Möglichkeit auf dem Raum-Switch Portisolation für die entsprechenden MAC-Adressen zu aktivieren.

Hab ihr das ggf. schon mal in Kombination mit der Initiierung des Klassenarbeitsmodus umgesetzt?

Viele Grüße
Thomas

#2

Hallo Thomas,

nein, noch nicht.
Bisher ist das bei mir so „gelößt“: die Nutzer haben auf den Rechnern nicht ausreichend Rechte um Netzwerkfreigaben zu erstellen/ zu verbinden.
Bisher reicht mir das.
Dein Ansatz ist natürlich viel sicherer … bringt aber erheblichen Mehraufwand: bekommst du neue Rechner, oder stellst einen Rechner von Raum A nach Raum B, dann muss das im Switch mitgeändert werden … ohje … das vergesse ich garantiert …

LG

Holger
LG

Holger

#3

Hallo Holger,

jeder Raum an der Schule hat ein eigenes Netz. PCs wild durchtauschen geht ohnehin nicht. Wenn ich einen PC umstelle oder austausche muss ich das in der Schulkonsole sowieso anpassen. Die Idee ist, die MAC-Adressen aus der devices.csv auszulesen und an ein Skript zu übergeben, welches auf dem jeweiligen Raumswitch für die Portisolation aktiviert…und natürlich retour, bei Beendigung des Klassenarbeitsmodus.

Gruß
Thomas

#4

Hallo Thomas,

warum?
Warum nicht einfach lassen.
Direktgespräche zwischen den Cleints sind doch nur beim torrentverteilen nötig, sonst nciht.

LG

Holger

#5

Hallo Holger,

Direktgespräche zwischen den Cleints sind doch nur beim torrentverteilen nötig, sonst nciht.

weil man genau DAS außerhalb des Klassenarbeitsmodus haben will! Sonst hat auch Linbo irgendwie nur den halben Wert.

Gruß
Thomas

#6

Hallo Thomas,
sehe ich das richtig, dass Dir auf L2-Ebene so etwas vorschwebt?

Mir kommt das allerdings sehr anfällig/kompliziert vor, wenn man „nur“ für den Klassenarbeitsmodus jedes Mal die Switch-Konfig ändern müsste?!?

Übrigens wird in dieser PDF-Datei (von 2012!) imho der gleiche Ansatz verfolgt! https://www.it-bildungsnetz.de/fileadmin/media/Akademietag_2012/Private%20VLAN.pdf (ab Seite 15…)

Viele Grüße,
Michael

#7

Hallo Michael,

ganz recht. Auf L2 wird unterbunden, dass die Clients „untereinander“ kommunizieren können. Allein mit dem Server soll „geredet“ werden.

Das die Idee nicht neu und nicht unbedingt der Standard für jede Schule ist, ist mir klar.

Im „normalen“ Unterricht ist Portisolation aber unerwünscht, weil die Schüler dort u,a. genau dieses, das Einrichten von Freigaben und das Verbinden auf freigegebene Ordner, üben.

Mich hätte halt interessiert, ob das jemand schon mal mit linuxmuster.net gemacht hat und welchen Lösungsansatz für das Problem andere wählen, wenn die Option „Unterbinden der Freigabe- bzw. Verbindungsmöglichkeit durch den Benutzer“ aus bestimmten Gründen so nicht möglich ist.

Viele Grüße
Thomas

#8

Hallo Thomas,
zwei Ideen dazu:
Im WLAN lässt sich die client-isolation ja relativ einfach umsetzen – zumindest bietet unifi das mit an, wenn man ein Gastportal davor hat.

Wenn man sich z.B. mit Hilfe von plink per ssh + Massenaktion auf alle (gleichzeitig) Switche verbindet, könnte man so etwas sicherlich hinbekommen. Es kommt mir aber weiterhin sehr fehleranfällig vor!? Kann mir kaum vorstellen, dass das jemand auf diese Weise umsetzt? Da wäre es vermutlich noch einfacher, dirket auf den Clients mit irgendwelchen Netzwerkeinstellungen (iptables) den Traffic untereinander zu unterbinden, oder?

Viele Grüße,
Michael

#9

Hallo Michael,

die Idee ist, das bei Aktivieren des Klassenarbeitsmodus über die Schulkonsole zusätzlich ein Skript angestossen wird, welches die Informationen z.B. aus der devices.csv holt, den entsprechenden Raum-Switch per ssh kontaktet, anhand der geholten Informationen aus der devices.csv Portisolation für die entsprechenden Ports aktiviert und nach Beenden des Klassenarbeitsmodus deaktiviert.

Warum soll das nicht möglich sein?

Die Lösung mit der lokalen Firewall (bzw. iptables)…ja…auch das kann man machen…das wäre für mich der letzte Notnagel. So funktioniert die Internetsperre bei CampusLAN. Kann man leicht aushebeln indem man vom Client vor Aktivierung der Sperre das Kabel trennt und wieder einsteckt. Das finden die Schüler sofort raus.

Btw…im WLAN ist Kommunikation der Geräte untereinander ohnehin verboten. Und da kommt man nur über RADIUS über EAP-TLS rein. Gibt auch „noch“ keine Geräte, über die im WLAN Klassenarbeiten geschrieben werden.

Gruß
Thomas

#10

Möglich ist das sicherlich schon – allerdings beschäftige ich mich zufällig auch gerade mit dem (automatischen) Einloggen per SSH auf Cisco-Switches. Mir geht es dabei aber darum, Arbeitsschritte abzukürzen und z.B. notwendige Befehle „in einem Rutsch“ auf allen Switches auszurollen. Auf diese Weise kann man sich auch Backups von allen Switch-Configs in einem Rutsch holen usw usw …

Meine ersten Versuche liefen mit „plink“ aus den „putty-tools“ (die es ja auch direkt unter Ubuntu per „apt install“ gibt). Das Ausführen von Befehlen macht hier aber Probleme und es läuft nicht so automatisch, wie es sein müsste. Daher Rückfrage: Bist du da weiter? Funktioniert das bei Dir zu 100% zuverlässig?

Zudem ist es ja so: Stell Dir vor, das das „Klassenarbeitsmodus-wieder-ausschalten-Script“ aus irgendwelchen Gründen scheitert – dann ist CI weiterhin aktiviert und niemand merkt es bzw ist der Fehler wahrscheinlich auch schwer zu lokalisieren, oder?

… aber nicht per default?! Das betrifft bei uns nur das „blaue“ WLAN … im grünen Netz haben wir auch ein WLAN aber da ist CI nicht aktiviert.

Viele Grüße,
Michael

#11

Hallo Michael,

wir setzten an der Schule, an der wir das so bereits seit Jahren im Einsatz haben, Switche von einem anderen Hersteller ein.

An sich mach das nur dann Probleme, wenn die Lehrkraft vergisst, über die Schulkonsole den Klassenarbeitsmodus zu beenden (was ziemlich oft vorkam). Daher gibt dafür einen cronjob, der morgens um 5 Uhr die Portisolation auf allen Raum-Switches aufhebt.

In solchen Fällen empfehle ich immer dem Kollegium die betreffende Lehrkraft zu einer Spende an die Kaffeekasse zu veranlassen. Das übt ungemein.

Gruß
Thomas

#12

Hi.
Hmm – das heißt, dass es bei Dir längst funktioniert?
Dein Script müsste also „nur“ noch in das WebUI eingebaut werden??

Leider ist der Befehlssatz von Switch-Hersteller zu Switch-Hersteller ja
leicht unterschiedlich. Von daher denke ich, dass es nie ein „allgemeines Verfahren für alle“ werden wird?!? Oder wie siehst du das?

Viele Grüße,
Michael

#13

Hallo,

wir haben das mit einer anderen Schullösung bereits so im Einsatz, aber eben noch nicht mit linuxmuster,net.

Und was wir da haben ist ja nicht unbedingt der Weisheit letzter Schluss. Kann man bestimmt auch besser machen…

Insgesamt ist das schon sehr Herstellerspezifisch…ist eine Individuallösung.

Ganz sicher kann es dafür keine „Allgemeinlösung“ geben. Mich hätten jetzt nur andere Ansatzpunkte interessiert oder ob jemand das schon äquivalent umgesetzt hat.

Es gibt ja im Lande Baden-Württemberg nicht nur die eine it-schule. Ich wüßte gern wie andere Schulen, die u.a. Fachinformatiker ausbilden und linuxmuster.net einsetzen mit dem Thema umgehen? Ist das für diese Schulen gar kein Thema? Noch nie irgendwem aufgefallen? Wie ist das dort gelöst?

Gruß
Thomas

#14

Hallo Thomas,

… wenn du das mal in die Klassenarbeitsmoduseinschalt/ausschaltscripte eingebaut hast, dann kannst du ja (wie mehrere von uns) Morgens statt dessen den Klassenarbeiten abräumen cronjob laufen lassen, siehe hier:

Generell geht es bei dir ja nunn so weiter:

  1. script schreiben, dass die configs der Switches Raumabhängig ändert und vom server aus läuft.
  2. Klassenarbeitsanfangsscript finden und eigenes Script „reinhängen“ (aufrufen lassen an einer Stelle)
    Das gleiche beim Beenden der Klassenarbeit.
  3. testen.

Vielleicht hilft dir der Link oben um die scripte zu finden.
Ich würde immer ein Backup meines scripts anlegen, da das verändern solcher Scripte nicht vorgesehen ist: sie also durchaus mal bei einem update überschrieben werden können.

LG
Holger

#15

Hi.
Also wir nutzen den Klassenarbeitsmodus bei uns unter’m Strich eher selten … zudem haben wir veyon auf den Clients installiert, so dass man den Schülern auch damit über die Schulter schauen kann. Aber es stimmt natürlich: Wer Kontakt zu einem anderen Client aufbauen will, kann das tun … würde mich auch interessieren, wie andere das machen!?

Viele Grüße,
Michael

#16

Hallo Thomas,

der Interessehalber: Macht ihr das über ein Backup er Switch-Konfiguration? Speicherung über den TFTP-Server der lmn?

Beste Grüße

Thorsten

#17

Hallo Thorsten,

ja, machen wir über einen eigenen Switch_Mangement-Server mit RANCID.

Viele Grüße
Thomas

#18

Hallo Thorsten,

Pardon, ich hatte das falsch verstanden. Also wir machen Backups der Switch-Configs mit RANCID auf einen separaten Server. Aktiviert bzw. deaktiviert wird die Portisolation auf den Switchen über ein Expect-Skript an welches Raum und Portliste übergeben werden.

Viele Grüße
Thomas

#19

Hallo Holger,

das Script wird auf einem anderen Server ausgeführt der mit der Schullösung nichts zu tun hat, da die Switche aus dem „Unterrichtsnetz“ nicht erreichbar sind bzw. verwaltbar sind. Einzig das Triggern der Skripte über die Schulkonsole müsste man halt „einbauen“, welches aber kein Problem sein sollte.

Gruß
Thomas