Noten verarbeiten in einem VLAN: Ja oder Nein?

Hi.
Ich wüsste gerne, ob es erlaubt ist, Noten und Abewesenheiten von Schülern (also auch jede Menge personenbezogene Daten!) in einem VLAN zu verarbeiten, das Teil des grünen Netzes ist. Also eigentlich ist man Teil des pädagogischen Netzes doch durch VLANs ist man ja doch getrennt voneinander.

Reicht das an Trennung der Netze oder muss es wirklich physikalsich getrennt ohne jeden Zugriff sein? Wenn ein Schüler den Server hackt, kann er ja (zumindest prinzipiell) auf alle Subnetze zugreifen…

(Ich frage mal ganz generell – ohne Netzbrief usw, der für BW offenbar bindend ist? Wir sind in NDS.)

Falls eine “echte” physikalische Trennung nötig ist, frage ich mich, wie man das am besten angehen sollte, wenn man über Unifi-APs ein zweites WLAN nur für Lehrer abstrahlen will. Denn dann reicht es ja auch nicht, dass das zweite WLAN in ROT oder BLAU liegt. Es müsste völlig isoliert sein… wie seht ihr das?

Schöne Grüße,
Michael

Hallo Michael,

in Hamburg würde es meines Wissens reichen, wenn in diesem VLAN
sichergestellt ist, dass die Clients sich nicht gegenseitig “sehen” können.
Der Server darf in diesem VLAN ebenfalls intern nicht erreichbar sein.
Wenn er von außen erreichbar ist, muss er in der DMZ sein.

Gruß Jürgen

Hi.
Wenn weder Server erreichbar sein darf noch Clients sich gegenseitig sehen können, sehe ich nicht mehr ganz ein, warum man das ganze dann noch ein Netzwerk nennen soll? :slight_smile:
(Nebenbei: Geht Client Isolation auf einem Cisco-SG300-Switch? Hatte es bisher immer nur auf dem Unifi-Controller gesehen/benutzt…).

Oder noch anders gefragt: Wie müssten ACE/ACL-Regeln auf einem SG300 ganz konkret für so einen Fall aussehen? Hat das jemand in Betrieb?

Michael

Hallo Michael,
bei uns geht es im “Lehrer-WLAN” darum, den KollegInnen einen “sicheren”
Internetzugang anzubieten. Eine Filterung insbesondere von https
verbietet sich hierbei. Die Kommunikation mit allen Ressourcen erfolgt
mit https abgesichert über das Internet. Das ist für mich durchaus noch
“Netzwerk” :wink:

Gruß Jürgen

Hi.
Ok. Um so ein “Lehrer-WLAN” geht es auch hier – nur, dass es nicht nur um einen Internetzugang sondern auch um die Verarbeitung von Noten usw geht.
Man kann offenbar auf dem Layer3-Switch alles mit ACL/ACE-Regeln so restriktiv einrichten, dass Clients in diesem VLAN so gut wie nichts mehr können (und natürlich auch nicht von anderen VLANs erreicht werden können). Stichwort “isolated VLAN” (oder evtl auch “PVLAN”… näheres: PDF --> IT-Bildungsnetz )

Auch der Zugriff auf’s Servernetz ist dabei ganz einfach zu unterbinden, wenn man die Regeln unter “10 Zulassen” --> https://www.linuxmuster.net/wikiarchiv/dokumentation:addons:subnetting:l3switch#aces_hinzufuegen anpasst.

Hat hier aber scheinbar bisher keiner so eingerichtet, oder? Ob der SG300 das alles überhaupt unterstützt, ist dabei eine nicht ganz uninteressante Frage :slight_smile:

Schöne Grüße,
Michael

Hallo Michael,

ich hab keien Ahnung was in deinem Bundesland erlaubt ist: ich kann nur
sagen, was ich laut Netzbrief 3 hier in BW für erlaubt halte und was ich
umgesetzt habe.

Erstmal muss das Netz segmentiert sein: damit nicht mehr von jedem
Rechner im Netz aus die Rechner im Lehrernetz angegriffen werden können.

Von “kein Zugriff auf den Server aus dem Lehrernetz” steht da in jedem
Fall nichts: natürlich meldet man sich an den Clients ganz normal wie
auf allen anderen Rechner am LDAP an.
Natürlich hat man alles seine Verzeichnisse.
Man darf aber keine personenbezogene Daten auf dem Server, der aus den
anderen Netzen erreichbar ist, ablegen.

In diesem Zustand ist mir das Verarbeiten von personenbezogenen Daten im
Lehrernetz erlaubt: aber nicht das unverschlüsselte Speichern auf dem
Server.

Will man auch die Speicherung erlauben, so muss ein weiteres Share nur
in diesem Netz
gemountet werden. Dieses darf nicht auf dem Server
liegen. Denkbar ist ein NAS in dem Subnet oder ein weiter Sambaserver
auf dem Virtualisierungshost.

Weiterhin bin ich der Meinung, dass die Rechner in diesem VLAN räumlich
gesichert sein müssen. Bei mir stehen die einzigen Rechner die sich im
Lehrernetz befinden im nur Lehrern zugänglichen Lehrerrechnerraum.
Wären die Rechner ohne weiteres auch durch dritte zugänglich, so müßte
das Anmelden von “nicht Lehrern” unterbunden werden. Das ist bei mir
nicht der Fall: Anmeldung ganz normal, wie überall im Netz.
Bei den 5 Ubuntu Rechnern könnte ich “nur Lehrer” ja noch relativ
einfach umsetzen: aber wie mache ich das bei den zwei Windows Kisten?

Würde man an frei zugänglichen Rechnern die Anmeldung von nichtlehrern
nicht unterbinden, dann wäre das ganze VLAN segmentierungsbrimborium
fürn A…h, weil von einem solchen Rechner aus natürlich wieder alle
andern im Lehrernetz angegriffen werden können.
Ein Lehrerpasswort kann abhanden kommen: trotzdem ist das noch mal was
anderes als wenn jeder Nutzer sich einfach so im Lehrernetz anmelden kann.

So interpretiere ich das alles: und so scheint es mir derzeit in BW
erlaubt zu sein.
Ich habe kein NAS im Lehrernetz: also kein weiteres share: die Daten
dürfen nicht unverschlüsselt gespeichert werden.

LG

Holger

Hallo.
Ich greife das Thema “Was darf man wo verarbeiten?” nochmal auf:

Darf sich die Schulleitung via OpenVPN mit dem IPFire verbinden, um Zugriff auf das päd. Netzwerk zu erhalten? Die beiden Netze (päd. Netz & Verwaltungsnetz) sind physikalisch weiterhin getrennt – doch es gibt eine Verbindung über den IPFire. Gibt es da Bedenken oder kann/sollte man das so einrichten, wenn der Zugriff von außen auf einen Rechner im grünen Netz gestattet werden soll? (hier übrigens: NDS, unser Netz ist segmentiert und die Schüler können aus ihrem VLAN auch nicht heraus…)

Schöne Grüße,
Michael

Dann sind sie aber nicht physikalisch getrennt!?

Viele Grüße,
Jochen

Daher die Frage, wie man das angehen soll… Beide Seiten müssen auf den Rechner zugreifen können… aus grün und aus der SL…

Hallo,

das ganze wurde gerade exakter vom KM geregelt!
Kultus und Unterricht 15/16 vom 8.09. S. 152 - (Netzbrief 3).
unter anderem Steht da neu:
“Vom Lehrernetz ist ein geregelter Zugriff in Richtung auf das Schulverwaltungsnetz auf ausgewählte Ressourcen zulässig …”
Das Lehrernetz ist natürlich nicht das Netz in dem sich Schüler aufhalten. Da muss man wol sogar noch etwas umbauen etc.
Da gib es natürlich noch 20 Einschränkungen, aber die physikalische Trennung ist damit nicht mehr so 100%ig. Wie man das dann macht, “?” !

VG
Volker

Hallo zusammen,

sehr interessante und wichtige Fragen, die ich mir auch zur Zeit stelle! Wir planen auch, ein Lehrernetz einzurichten, um personenbezogene Daten in gewissem Umfang dort verarbeiten zu können.
Da ich keine Lust habe, mir für dieses Netz noch eine weitere Serverlösung für Authentifizierung und Datenhaltung, sowie eine weitere Lösung für das (zentrale) Clientmanagement einzurichten, spekuliere ich auf die neue v7 von linuxmuster.net. Mit deren “Mehrschulfähigkeit” soll ja auch innerhalb einer Schule (mit der Installation eines einzigen Servers!) die Trennung in diese beiden Netze netzbriefkonform möglich sein. Heißt für mich, die Clients, die VLAN-mäßig getrennt sind, greifen zwecks Authentifizierung, Datensicherung, etc. doch auf ein und denselben Server zu, dieser muss die geforderte Trennung eben sicherstellen. Liege ich da richtig?
Denn eine echte physikalische Trennung gibt es spätestens dann, wenn alle beteiligten Netze mit dem Internet verbunden sind, doch eh nicht, sie sind dann eben durch x Router, Firewalls etc. getrennt aber “physikalisch” auf keinen Fall. Deshalb meine (etwas ketzerisch gemeinte) Frage oben :wink:
Ansonsten sehe ich das wie Holger, nur die verschlüsselte Speicherung oder alternative Notwendigkeit eines zweiten Servers/NAS lese ich aus dem Netzbrief nicht heraus!?

Außerdem suche ich noch eine datenschutzrechtlich saubere Lösung für die Führung eines elektronischen Tagebuchs von Rechnern in den Klassenzimmern aus. Hatte das auch schon mal in einem anderen Thread diskutiert. SuS haben natürlich Zugriff auf diese Rechner, 2FA sollte daher aber ok sein!?

Und noch ne Frage: wie handhabt Ihr das mit privaten Lehrer-Geräten? Auf der einen Seit getrennte und bis oben hin abgesicherte Netze und dann kommen die KollegInnen und wollen ihren Laptop mal hier (Pädagogik) und mal dort (Lehrernetz) einstöpseln… ???

Viele Grüße,
Jochen

Hi. Es kommt mir aber rein praktisch komplizierter vor, wenn alle Rechner aus dem Lehrerzimmer (z.B. per VPN) auf eine Ressource im SL-Netz zugreifen können dürfen als wenn es umgekehrt läuft und die paar Rechner aus der SL zB per VPN auf eine Ressource im Lehrernetz zugreifen können. Das ist für die SL zwar ein Klick mehr, da sie vorher die Verbindung aufbauen müssen, doch der IPFire (und hoffentlich auch später OPNSense) ist ja diesbgzl sehr gut einstellbar, was dann über die VPN-Leitung gehen darf und was nicht. M.a.W.: Man kann ja alles aussperren, was man nicht auf der Leitung haben will. Schüler haben bei uns sowieso kein VPN und den Zugang zum Servernetz könnte man zudem verbieten. Ist das auf diese Weise nicht dicht genug :interrobang:

Allerdings wäre es für das zukünftiges Setup durchaus wichtig zu wissen, wie das konkret unter OPNSense laufen wird. Ich habe mir eine Firewall auf Blech angesehen, die zwar 'ne “Kleinigkeit” kostet, aber dafür 6 bzw 8 (!) Schnittstellen hat. Damit wäre so ein Szenario vermutlich sehr einfach umsetzbar?? —> scope7-4210 bzw OPNsense DEC4610. Hat da einer konkrete Infos bzw schon etwas in diese Richtung umgesetzt?

Schöne Grüße,
Michael

Hallo zusammen,

hier noch mein Senf zu der ganzen Geschcihte.

die V7 bringt Datenschutztechnisch zu dieser Frage trotz
Mehrschulfähigkeit keine “besserung”.
Es bleibt ja der Grundsatz aus dem Netzbrief, dass Schüler von Rechnern
die auf Resourcen zugreifen dürfen auf die nur Lehrer zugreifen dürfen
nicht zugreifen dürfen: die Rechner also “hinter einer Tür” stehen
müssen (gemeinhin “Lehrernetz” genannt).
Dieses ist also durch eine Türe UND durch Subnetting abgetrennt.
Als nächstes kommt die Frage: wo liegen die besonderen Daten, die die
Lehrer dort verarbeiten/auf die sie zugreifen können.
Diese dürfen nicht auf dem Server liegen, auf den auch die Schüler
ZUgriff haben.
Damit bringt die Mehrschullösung nichts, weil beide “Schulen” ihre Daten
auf dem selben Server vorhalten.
Will man solche Dinge speichern, dann geht das auf einem NAS, das nur
aus dem Lehrernetz zugänglich ist.
Virtualisiert auf dem selben Server geht: also lmn7 server und NAS
server auf dem selben Server beide virtualisiert.

Zum KLassen buch:
du hast nur das “Schulende” beschrieben. Ob da
Zweifaktorauthentifizierung reicht… das muss dir dein
Datenschutbeauftragter sagen.
Das andere Ende ist viel heikler: wo liegen den die Daten auf die man
per zweifaktor zugriff hat?
Beim “Klassenbuchprovider”?
Das sind sensible personenbezogene Daten (Klassenbucheinträge), weil man
damit heraus bekommt, ob jemand eine Krankheit hat, oder wie oft er
fehlt und vor allem solche Bemerkungen wie “Peter hat Paula geschlagen”
Meines wissens nach dürfen die das Schulhaus nicht verlassen: das gilt
in jedem Fall für Klassenbücher an sich: es ist verboten sie mit nach
Hause zu nehmen.
Warum sollte das für elektronische Daten nicht gelten?

Ich würde da dringend die Finger von lassen.

LG

Holger

Hallo,

von einem Kollegen aus Calw von der Realschule hörte ich allerdings, dass dort so ein elektronisches Klassenbuch eingeführt worden sei.
L.G.
Christoph Gü.

Hi Holger,
also von der “Dichtigkeit” geht es mit OpenVPN aber schon, ja? Bei uns liegen die Daten alle vollständig bei uns – da wird nichts zu einem Dienstleister geschickt. Das Klassenbuch ist in dem Sinne auch kein digitales Klassenbuch sondern es geht primär um die digitale Erfassung der Abwesenheiten (vor allem kann man gezieltes Schwänzen von Einzelstunden in der Oberstufe schnell feststellen, wo es auch eingesetzt werden soll). Das soll mit Tablets erfasst werden. Die SL muss darauf aber auch zugreifen können. Im Moment befinden sich diese Geräte in einem Subnetz in grün – und die SL soll sich dann per OpenVPN bei Bedarf einklinken können.

Wie oft jemand fehlt, will man ja tatsächlich mit dem System herausfinden können. Zudem will man damit ja auch zählen lassen, wie viele Fehltage jemand hat, um das nicht mühsam per Hand machen zu müssen. Ich würde diesbgzl daher nicht allzu schwarz sehen.
Schöne Grüße,
Michael

Hallo Christoph,

von einem Kollegen aus Calw von der Realschule hörte ich allerdings,
dass dort so ein elektronisches Klassenbuch eingeführt worden sei.

nur weil es Schulen gibt, die das haben, heißt es nicht, dass es erlaubt
sei.
Denk an all die Schulen die Office 365 einsetzen …

Aber gut: ist halt meine Meinung :slight_smile:

LG

Holger

Hallo Holger,

von einem Kollegen aus Calw von der Realschule hörte ich allerdings,
dass dort so ein elektronisches Klassenbuch eingeführt worden sei.

nur weil es Schulen gibt, die das haben, heißt es nicht, dass es erlaubt
sei.
Denk an all die Schulen die Office 365 einsetzen …

Gruber & Petters hat natürlich ein großes Interesse daran, dass man ihr
System ohne Grauzone datenschutzkonform nutzen kann.

Meinem Kenntnisstand nach laufen da mindestens Verhandlungen mit dem KM,
vielleicht gibt’s inzwischen auch schon ein Ergebnis.

Die Daten liegen jedenfalls bei Webuntis IMMER ganz klar auf Servern von
G&P in AUT.

Viele Grüße
Steffen