Druckansicht von http://lehrerfortbildung-bw.de/netz/muster/linux/material/sicherheit/doc/wlan/index.html, Stand 26. May. 2012

 
 Hauptmenü

 

:: Übersicht: paedML Linux

---

:: Leistungsmerkmale

---

:: Basiskurs

---

:: Umsteigen auf die paedML Linux

---

:: Benutzerverwaltung

---

:: Softwareverteilung

---

:: Selbstheilung

---

:: Datensicherheit

---

:: Unterricht

---

:: Externer Zugriff

---

:: Sicherheit

:: Firewall IPCop

:: Virenschutz ClamAV

:: Sicherheit im WLAN

---

:: Serverpflege

---

:: Clientpflege

---

:: Notebooks

---

:: Praxistipps / Ergänzungen

---

:: Regionale Arbeitskreise

---

:: Kontakt

---

:: Archiv

---

Der IPCop unterteil das schulische Netz in verschiedene Zonen. In der (maximalen) Ausstattung mit vier Netzwerkkarten bietet der IPCop vier nach Farben gegliederte Zonen an:

	Die rote Zone bezeichnet die Verbindung des schulischen Netzes über einen Router mit dem Internet.
	Die grüne Zone stellt das interne schulische Netz dar. Der paedML-Server, alle Arbeitsstationen und alle schuleigenen mobile Rechner befinden sich im grünen Netz. Mobile Rechner können über WLAN angebunden sein.
	Die blaue Zone ist für mobile Rechner vorgesehen, die nicht ständig im schulischen Netz und über WLAN angebunden sind. Sie eignet sich z.B. für private Lehrer-Notebooks.
	Die orange Zone ist "demilitarisiert" (DMZ) und für den Einsatz von Webservern vorgesehen. So kann z.B. ein schuleigenes Moodle in diesem Bereich eingerichtet werden.

Viele Schulen stehen vor der Frage, wie sie die steigende Zahl von Notebooks - seien es private Lehrer- und Schülernotebooks oder schuleigene Notebooks - sinnvoll in das schulische Netz aufnehmen sollen.

Zugang über Grün (mit WPA/WPA2-Verschlüsselung)
Die einfachste Methode besteht darin, diesen Notebooks den Zugang zum grünen Netz zu gewähren. Dies ist mit einem Eintrag der MAC-Adresse des WLAN-Adapters eines Notebooks in die Datei "wimport_data" leicht zu realisieren. Obwohl solche Notebooks nicht Mitglied in der Domäne "Schule" sind, haben sie Zugriff aufs Internet und können sich manuell oder mit Hilfe einer kleinen Batchdatei mit dem Heimatverzeichnis des Benutzers verbinden. Allerdings birgt diese Methode gewisse Risiken. Den Benutzern muss das Passwort der WLAN-Access Points der Schule bekannt sein, das dadurch quasi öffentlich wird. Unter Umständen können Schulfremde ohne Wissen der Schule das Funknetz nutzen; den Access Points eine gefälsche Mac-Adresse unterzuschieben ist nicht allzu schwierig.

Um dies zu erschweren, kann auch im grünen Netz eine Domänen- bzw. LDAP-Anmeldung über WLAN erfolgen. Dies ist zumindest für schuleigene Notebooks, die regelmäßig im Unterricht eingesetzt werden, zu empfehlen.

Zugang über Blau (mit persönlichen OVPN-Zertifikaten)
Die bessere Methode, nicht ständig ins Schulnetz eingebundenen Notebooks einen Zugang zum schulischen Netz zu gewähren, besteht darin, die Möglichkeiten der blauen Zone zu nutzen. Die blaue Zone wurde genau für diesen Zweck entwickelt und bietes ein hohes Maß an Sicherheit. Der Zugang zum blauen Netz ist ausschließlich über einen sicheren "Tunnel" (VPN) und ein persönliches Sicherheitszertifikat möglich. Dieser Zugang ist deshalb unter Sicherheitsaspekten relativ unproblematisch. Die Benutzer erhalten ein personifiziertes, passwortgeschützes Zertifikat und installieren einen OVPN-Client auf ihrem Notebook.

Zugang über Blau (mit allgemeinen OVPN-Zertifikaten)
Warnung: Vom Zugang über Blau mit allgemeinen OVPN-Zertifikaten ist unbedingt Abstand zu nehmen. Das Zertifikat kann von Benutzern entwendet und unkontrolliert für den Zugriff auf das Schulnetz verwendet werden.

Zugang über Blau (mit CopSpot und Radius)
Sofern das IPCop-Addon CopSpot und eine Radius-Authentifizierung (freeradius) auf dem paedML-Server installiert sind, können private Notebooks über eine Passwort-Authentifizierung den Zugang zum blauen Netz bekommen. Dieses Verfahren hat den Vorteil, dass keine zusätzliche Software auf den Notebooks benötigt wird; auch Schlüssel oder Zertifikate auf den Clients sind nicht nötig. Der potenzielle Nachteil liegt darin, dass die Sicherheit von der Qualität der Passwörter abhängt. Außerdem muss OpenVPN auf Blau ausgeschaltet sein.

Mehr Informationen zu CopSpot und Radius-Authentifizierung auf den Seiten des Support-Netzes

Diese Präsentation stellt die Zusammenhänge der unterschiedliche Zonen dar und nennt die Voraussetzungen für die Einrichtung eines blauen Netzes.

Im Menü Externer Zugriff erfahren Sie mehr über den VPN-Zugang mit Hilfe von OpenVPN.

 

SUCHE NACH:

Inhalt Fortbildungen

Für NetzwerkberaterInnen

Basiskurs zur paedML Linux:

Anmeldung

PaedML Linux bestellen:

PaedML Linux

 

Open-Source-Version

OpenML

Startseite | Impressum | © Copyright |

Zuständiger Redakteur: Dr%20Heinz Beister, beisterlehrerfortbildung-bw.de
© Landesakademie für Fortbildung und Personalentwicklung an Schulen, für diese Seite gilt http://lehrerfortbildung-bw.de/impressum/copyright/urheber_standard.html
Letzte Änderung: 01.02.2011