ich möchte nun endlich die netzbriefkonforme Trennung in P- und L-Netz umsetzen, dabei soll gleich die v7 zum Einsatz kommen.
Unser Kollegium wird außerdem Laptops zur persönlichen, dienstlichen Nutzung erhalten. Diese werden sich abwechselnd sowohl im P- als auch im L-Netz tummeln. So weit in Ordnung aber:
da die Zugriffssteuerung in der v7 ja von IP/MAC-basiert auf benutzerbasiert umgestellt werden wird, ergeben sich damit folgende Probleme / stellen sich mir folgende Fragen:
der Zugriff auf personenbezogene Daten im L-Netz darf nur von dort aus, nicht aber aus dem P-Netz erfolgen! Die o.g. benutzerbasierte Zugriffsregelung ist hier also nicht zielführend, da ich keine unterschiedlichen Accounts für P- und L-Netz verwenden möchte…!?
Ich könnte ja nun den Zugriff z.B. auf ein NAS im L-Netz so beschränken, dass nur kabelgebundene Geräte aus dem L-Netz darauf Zugriff haben. Dafür muss das Lehrerlaptop aber - je nachdem, ob es sich im P- oder L-Netz befindet - bei gleicher MAC-Adresse(!) eine andere IP bekommen.
Ich weiß nicht, ob sich das mit dem standardmäßig einen DHCP-Server der v7 umsetzen lässt und man darin z.B. verschiedene Pools o.ä. konfigurieren kann, ob man einen zweiten DHCP-Server im L-Netz bräuchte (der dann aber nicht automagisch befüllt würde) oder ob das noch ganz anders umzusetzen wäre!???
Habt Ihr eine Idee?
Könnte man hier vielleicht irgendwie mit ACLs auf dem Switch arbeiten und den Zugriff auf das NAS nur von entsprechenden Switchports (LAN-Dosen in den Lehrerstützpunkten) aus erlauben?
Gibt es elegantere Lösungen?
Vielen Dank für’s Mitdenken und viele Grüße,
Jochen
P.S.: falls das mit den switchportbasierten ACLs tatsächlich funktionieren sollte und ich nur einen einzigen DHCP-Server habe, können die Laptops im L- und P-VLAN denn dann die gleiche IP haben??? Ich bin verwirrt…
du kannst den Geräten nicht, wenn sie mit der gleichen MAC ankommen,
unterschiedliche IPs geben oder sie in unterschiedliche Netze stecken:
das ging nur, wenn deine Switches mit zertifikaten Arbeiten (port
authentifizierung) und somit die Cleints erkennen und ins richtige VLAN
stecken.
Das ist für Schulen bei weitem zu kompliziert.
Aus meiner Sicht geht das bei dir nur so:
Lehrergeräte kommen ins “Lehrernetzt” und können somit per Kabel im
Netzwerk nur im Lehrerzimmer oder Lehrerrechnerraum verwendet werden,
weil Dosen des Lehrernetzes ja nicht an öffentlich zugänglichen Stellen
im Schulhaus sein dürfen.
Wollen die Lehrer diese Geräte auch für den Untericht und in diesem
verwenden, so haben sie dann nur per WLAN de Möglichkeit
Internet/Netzwerkzugriff zu erlangen: dann sind sie aber nicht im
Lehrernetz.
Die Regel für das NAS muss ja eh sein, dass ein Zugriff nur vom
Lehrernetz aus möglich ist (der einfachheit halber stellt man das NAS
einfach ins Lehrernetz).
Kompliziert wär mir erst mal egal aber das wird vermutlich eh nicht datenschutz/netbriefkonform sein, denn dann hinge der Lehrerlaptop aufgrund seines Zertifikats im Klassenzimmer ja doch wieder im Lehrernetz, was nicht sein darf.
Wenn ich im P-Netz aber nicht ausschließlich per WLAN, sondern auch mit kabelgebundenen Dosen arbeiten will/muss (Poolgeräte etc), dann würde ein Lehrerlaptop, wenn man es denn dort anschliessen würde, sich wieder eine IP aus dem Lehrernetz ziehen und hätte Zugriff, oder?
Hi.
Ich weiß nicht so genau ob dir das hilft, aber kannst du nicht mit MAC Spoofing erreichen, dass einer physikalischen NIC mehrere IPs in diversen VLANs zugeordnet werden kann?
Na ja, mit Ubuntu Clients ist das ganz einfach. Ich habe zB eine VM unter Proxmox, die nur eine NIC hat aber im Netzwerk Manager unter Ubuntu habe ich mit MAC Spoofing Zugriff auf alle VLANs. Nachteil: ich musste alle MACs in der workstations-Datei erfassen.
Ob das mit v7 noch alles genauso läuft, kann ich nicht sagen …
Michael
wenn deine Access Points Multi-SSSD können, kannst du auch zwei WLANs machen (wenn WLAN im Lehrernetz in Dtl. erlaubt ist…). Jedes WLAN kannst du dann einem anderen Subnetz / VLAN zuordnen. Die Zugriffsbeschränkung kannst du dann in der Firewall bzw. auf den Switches machen.
Wenn ich im P-Netz aber nicht ausschließlich per WLAN, sondern auch mit
kabelgebundenen Dosen arbeiten will/muss (Poolgeräte etc), dann würde
ein Lehrerlaptop, wenn man es denn dort anschliessen würde, sich wieder
eine IP aus dem Lehrernetz ziehen und hätte Zugriff, oder?
das geht nicht.
Die MAC der Netzwerkkarte ist nur einmal in der workstations: und dort
ist sie im Lehrernetz.
Der DHCP würde dem Rechner dann also eine falsche IP geben, wenn er
nciht an einer Lehrernetzdose ist.
Ich habe das mit meinem Laptop so: damit das in unterschiedlichen
Subnetzen funktioniert habe ich Netzwerkkonfigs mit unterschiedlichen
MAC Adressen: ich muß halt passend auswählen.
Das geht, ist aber nichts für die Kollegen.
so, die Umsetzung läuft gerade und wir stehen nach wie vor vor demselben Problem. Unser Dienstleister hatte jedoch eine Idee, die ich hier mal zur Debatte stellen möchte: den Einsatz von Dockingstations in den Klassen- und Fachräumen. Das Ganze sähe dann wie folgt aus:
Laptops, die auf personenbezogene Daten auf dem NAS im Lehrernetz zugreifen wollen, hängen sich kabelgebunden im Lehrerzimmer an eine Dose. Das Laptop erhält daraufhin die IP aus der devices, die der NIC des Laptops zugewisen ist und diese ist aus dem Lehrernetz. Das NAS ist nur von dort aus erreichbar.
Meldet sich derselbe Laptop per WLAN an, erhält er eine IP im WLAN, die seiner WLAN-MAC zugeordnet ist. Vom WLAN aus hat er natürlich keinen Zugriff auf das Lehrernetz.
Will man mit diesem Laptop kabelgebunden in Klassen- und Fachräumen arbeiten, steckt man ihn in die dann dort installierte Dockingstation. Da MAC-Address-Pass-Through bei uns eh nicht funktioniert, meldet sich das Dingen dann mit der MAC der Dockingstation, die natürlich auch eingetragen sein muss und landet, da ich die MACs der Dockingstationen ja raumscharf zuweisen kann, samt entsprechender IP dann im jeweiligen pädagogischen Subnet (von dem aus ein Zugriff auf das Lehrernetz natürlich auch nicht zugelassen ist).
Positiver Nebeneffekt: dabei wird das Laptop gleich noch geladen, hängt an Beamer, Lautsprecher etc.
Klingt doch gut, oder übersehe ich was?
Vielen Dank für’s Mitdenken und viele Grüße,
Jochen
Müsste gehen. Einzig die Sache mit dem Datenschutz.
Hat der Nutzer des Laptops Dateien aus dem Lehrer-Netz, die unter den Datenschutz fallen, auf das Gerät kopiert (nicht verschlüsselt und verschlossen) dann ist das bestimmt nicht erlaubt.
das ist richtig. Wobei ich so was technisch natürlich nicht verhindern kann. Die klare Anweisung ist die, dass diese Daten auf dem Laptop verschlüsselt werden müssen und auch nicht in für Schüler zugänglichen Räumen entschlüsselt und bearbeitet werden dürfen.
Ob sich daran alle halten, kann ich nicht kontrollieren aber ich meine, damit alles in meiner Macht stehende getan zu haben.
Ich gehe auch davon aus, dass sich nicht alle daran halten werden, denn wie sollen sie ansonsten den SchülerInnen ihre Noten bekanntgeben? Denn den entsprechenden Veracrypt-Container dürfen Sie im Klassenzimmer ja nicht öffnen…!? Und ich glaube nicht, dass sie vorher die Noten auf Papier ausdrucken werden, zumal man darüber streiten kann, ob das datenschutzrechtlich sichrer ist. Ja, ist es vermutlich, da man dann nur an die Noten aber an nix Anderes rankäme aber wie gesagt, das ist dann den KollegInnen überlassen…
das Lehrernetz wird u.a. dadurch als „Sicher“ deklariert, weil für Schüler/innen der physikalische Zugang zum Raum nicht möglich bzw. nur unter Aufsicht möglich ist. Deshalb ist auch das Risiko von Spycams (z.B. als Kugelschreiber getarnt), Keyloggern usw. (zumindest theoretisch) ausgeschlossen.
Dies ist in einem Klassenzimmer nicht so. Oder wer prüft schon die USB-Ports der Dockingstation?
Was hier diskutiert wird ist eine Buchse in einem Klassenzimmer zum Lehrernetz zu verbinden. Das widerspricht völlig dem Ausgangsgedanken.
Im Lehrernetz soll die Arbeit in einem physikalisch geschützten Raum (Zutrittskontrolle) in einem geschützten Netzwerk ermöglicht werden, auf das von Außen (Schülernetzwerk) kein Zugriff möglich ist, aber nach Außen zugreifen kann uns somit Unterrichtsmaterialien für Schüler bereitgestellt werden können.
Ein im Lehrernetz registriertes Gerät muss im Schülernetz eine IP (nicht reserviert) aus dem Schülernetz erhalten. Der DHCP-Server erhält vom L3-Switch (DHCP-Relay-Agent) die Info aus welchem Subnetz die IP-Anfrage kommt, und vergibt eine IP aus dem jeweiligen Subnetz. Dies setzt voraus, dass ein „freier“ Adresspool definiert wird, aus dem Geräte ohne MAC-Registrierung IPs erhalten.
Das hast Du mich falsch verstanden, das stand nie zur Debatte.
Du meinst das mit den unverschlüsselten, personenbezogenen Daten?
Die kann er aber auch auf seinem USB-Stick mit sich herumtragen. Dafür fühle ich mich dann nicht mehr verantwortlich.
