Schulkonsole (temporär) nach außen öffnen

Da wir unseren Server zur Authentifizierung etlicher Dienste verwenden und die Schule aufgrund eines Falles in der Verwaltung schon seit Freitag geschlossen ist (und alle Verwaltungsmitarbeiter in Quaratäne sind) Würde ich gerne die Schulkonsole für ein paar Tage nach außen öffnen, damit wir das Zurücksetzen von Passwörtern (von 1200 unvorbereiteten Schülern) auf mehr Schultern verteilen können. Ich halte dieses Vorgehen für sinnvoller als diversen Kollegen den ssh-Zugriff zu ermöglichen und ihnen auch noch zu erklären, wie man tunnel einrichtet…

Ich habe bereits eine Regel im ipfire eingerichtet, aber ich muss wohl noch etwas an der lokalen firewall am server einstellen, das finde ich jetzt aber auf die Schnelle nicht. Kann mir jemand helfen?

Wäre die Schule morgen noch offen hätte ich einfach mit ein paar KuK in allen Computerräumen PW-Hilfe Stationen eingerichtet, aber das geht jetzt nicht.

Ich hoffe ihr könnt mir schnell einen Tipp geben.

Liebe Grüße,
Angelika

Hallo Angelika,

ich kann Dir im Moment nur eine Vorsichtsmaßnahme empfehlen.

Wenn Du den Server von außen zugänglich machst, dann kannst Du Risiken erheblich einschränken indem Du im IPFIRE den Geoblock für alle Länder einschaltest aus denen nicht auf den Server zugegriffen werden darf (diese Maßnahme ist so oder so sinnvoll).

Achtung: Untis will nach Österreich kommunizieren. Wenn Ihr das habt, dann muss der Geoblock dahin abgeschaltet werden.

Am Sichersten wäre aber m.E. OpenVPN zu nutzen. Das ist schnell eingerichtet und wenn die KollegInnen ihren Laptop mi in die Schule bringen, dann ist das auch schnell installiert.

Viele Grüße

Alois

Hallo Angelika!

Ruf mal die Hotline an. Einer von uns geht dran.

https://www.linuxmuster.net/de/support-de/hotline/

Beste Grüße

Thorsten

Problem wurde telefonisch geklärt!
Der Router war es!

Bleibt alle gesund!

Beste Grüße

Thorsten

Hallo Thorsten,

habt ihr das Geoblocking eingeschaltet?

Gruß

Alois

wir haben gar nicht geöffnet, bevor belwue dazu gekommen wäre den Router zu öffnen habe ich mit dem zweiten Kollegen mit ssh-Ugriff schon die meisten Passwörter zurückgesetzt. Ändern kann jetzt halt keiner bis wir wieder in die Schule kommen…

Danke fürs Mitdenken, Angelika

Hallo zusammen,

ich möchte dieses Thema noch mal prinzipiell aufwärmen.
Nicht nur aber besonders in Zeiten von Corona/Fernunterricht wäre es äußerst nützlich, u.a. die pädagogischen Funktionen, die die Schulkonsole bietet (z.B. Austeilen/Einsammeln) auch remote nutzen zu können.
Was sprach/spricht denn dagegen, dies zu tun und die Schulkonsole nach außen zu öffnen? Sicherheitsbedenken? Falls ja, welcher Art? Wäre es in diesem Fall nicht sinnvoll, die Schulkonsole so zu härten, dass man das bedenkenlos tun kann?
Ich weiß, es gibt auch andere technische Möglichkeiten (SSH-Tunnel, (Open)VPN, Wireguard etc.) aber diesen Weg wollte ich für den Feld-Wald-und-Wiesen-Kollegen nicht gehen, da bin ich froh, dass diese die Schulkonsole im Browser aufrufen können :wink:

Danke für’s Mitdenken und viele Grüße,
Jochen

Servus Jochen,

Genau diese „härtung“ ist „das Problem“. Wir haben nun einen großen Schritt in diese Richtung gemacht. Die Änderungen sind bereits in den TESTING Repos drin. Dabei werden die Sessions der Benutzer Isoliert und nicht mehr im Root Kontext ausgeführt. Deshalb haben wir dort nun auch das lang erwartete Feature drin, dass ich auch Schüler anmelden können.

Wir haben ein paar Schulen welche die WebUI nach außen offen haben. Diese sind aber immer hinter einer Sophos Webserver Protection. Direkt via Port Forwarding würde ich es nicht empfehlen.

VG, Maurice

1 Like

Hallo Jochen,

Das ist ein schwieriges Thema, es geht prinzipiell um die Sicherheit.
Wir sind gerade dabei, die Sicherheit zu härten, und wir sind noch am testen, das betrifft alle Pakete ( linuxmuster-base, sophomorix und die webui ).

Natürlich ist einen Zugang per SSH-Tunnel oder VPN sicherlich gut, aber das können nicht alle Lehrer, das weißt du schon.

Für meine Software, in meine Schule, habe ich folgendes gemacht :

  • im Firewall, ipfire oder opnsense : nur die IPs aus Deutschland oder Frankreich dürfen solche Seiten aufrufen,
  • sensibeln Bereiche kann man nur im internen Netz ( in der Schule ) aufrufen oder nur mit 2FA.

Das ist nicht optimal, man kann natürlich eine IP spoofen, aber es ist schon mal was gutes.

@Maurice war natürlich schneller.

Gruß

Arnaud

1 Like

Hallo Maurice und Arnaud (Ihr seid mal wieder pfeilschnell :smiley:),

super, dass hier bereits daran gearbeitet wird! :smiley:
Zumal wir vorhaben, die OPNsense mittelfristig durch eine Sophos zu ersetzen.

Danke Euch und viele Grüße,
Jochen

1 Like

Hallo Jochen,

Was sprach/spricht denn dagegen, dies zu tun und die Schulkonsole nach
außen zu öffnen? Sicherheitsbedenken?

ja: massive Sicherheitsbedenken.

Falls ja, welcher Art? Wäre es in
diesem Fall nicht sinnvoll, die Schulkonsole so zu härten, dass man das
bedenkenlos tun kann?

das ist illusorisch: wir haben weder das KnowHow noch die Resourcen um
einen Dienst im Internet so ab zu sichern, dass man ihn als „sicher“
ansehen könnte.
Dass sowas sowiso nicht wirklich möglich ist sieht man an den
andauernden Warnungen zur Sicherheit von z.B. Wordpress.
Deswegen ist es Heutzutage ein absolutes NoGo einen solchen, aus dem
INternet erreichbaren Dienst auf dem Hauptserver (AD Controller) laufen
zu lassen.

Ganz ehrlich: schlag dir das aus dem Kopf.

Viele Grüße

Holger

Hi Jochen,

wir werden demnächst mal aufzeigen wie und vorallem warum wir das in 90% via Sophos machen. Leider fehlt im moment etwas die Zeit, da wir sehr damit beschäftigt sind das „Homeschooling“ so gut wie möglich durch technische Lösungen für „unsere Schulen“ zu vereinfachen. Wir haben auch einige Plugins im experimentellen Test (BBB Integration in Webui, NC integration, 100% Hosted LMN7, Moodle API, uvm. ).

Wir haben hier wirklich sehr aktive Netzwerbetreuer die mit uns im engen austausch stehen… die Ideen sind wirklich klasse aber vieles davon noch nicht Spruchreif.

LG, Maurice

Hallo Holger,

Am bestens einen Server ohne Internet, oder ? :slight_smile:

Gruß

Arnaud

Hallo Holger,

d´accord für den Status quo (was für ein Sprachmischmasch). Aber so, wie ich Maurice und Arnaud verstehe, wird gerade zum einen die WebUI bereits gehärtet und zum anderen würde eine Sophos mit der Webserver Protection die Sicherheit auch nochmal erhöhen.

Viele Grüße,
Jochen

Hi Jochen,

so ist es. Wir arbeiten hier wirklich sehr aktiv daran. Es ist aber wie auch schon im SSPR für Limuv7 geschrieben wichtig das ganze via Rev. Proxy zu härten. Da muss man aber zugegeben auch wissen was man macht, sonst bringt es auch nichts. Das betrifft aber nicht nur die WebUI sondern alle Webservices, je tiefer diese in die Systeme eingreifen desto wichtiger wird die Absicherung. Die WebUI ist hier wirklich ein ganz heißes Eisen und da muss ich Holger recht geben.

Wir haben Techniker mit den höchsten Zertifizierungen die man bei Sophos erreichen kann, dennoch arbeiten wir auch hier intensiv mit Sicherheitstechniker von Sophos zusammen um das Menschenmöglichste für die Sicherheit zu bieten.

Es kommt aber auch der Faktor „Masse“ dazu… es ist ein unterschied ob 150 Lehrerer und Admins mit einer Weboberfläche arbeiten oder zusätzlich 3500 oder mehr Schüler.

Wer schon mal eine NC für mehr als 1000 Sessions eingerichtet hat oder ein BBB Cluster der weiß was ich mein.

VG, Maurice

Hallo Maurice,

[OT]
Da bin ich sehr gespannt! Gerne auch bezüglich Themen zentrales Routing über die Sophos wie bei den Seminaren und HA-Setups aus 2 Sophos. Hier würde mich v.a. interessieren, ob das zwei baugleiche (teure!) Sophoses sein müsssten oder ob man für die Failover-Sophos, die ja hoffentlich seltenst einspringen muss, nicht ein günstigeres Modell nehmen könnte!?
[/OT]

Muchas gracias in advance,
Jochen

Klar. Wobei ich vermute, dass die Last durch Zugriffe auf die WebUI bei Weitem nicht so hoch sein würde, wie bei einer intensiv genutzten NC oder BBB.

Hi Jochen,

[OT]
können ja die Tage mal kurz quatschen. Das HA ist in den Sonderkonditionen (Aktive/Passiv) inklusive, es kommt also nur die Hardware dazu und diese ist Subvensioniert. Daher nicht so teuer. Mit der Basic Lizenz ist die Sophos günstiger als jeder L3 Router/Switch in gleicher Leistungsklase.
[/OT]

LG, Maurice

Das ist so. Die WebUI ist auch unglaublich performant und Ressourcen schonend.

Hi Maurice,

das meint aber so wie Du schreibst „Web Server Protection“ und nicht „Web Protection“, in Sophos-Lizenz-Sprech „FullGuard“ und nicht „nur“ „EnterpriseGuard“, oder!? Keine Ahnung, wie groß da die preislichen Unterschiede (mit Edu-Rabatten) wären.
Und die Lizenzen kosten jährlich? Da müssen wir uns wohl tatsächlich mal genauer über Preise unterhalten…

LG,
Jochen