Schule für knapp 400 Beteiligte - welche DS?

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.097
Punkte für Reaktionen
2.065
Punkte
259
Da würde ich mal sagen: Erst lesen (ja, ist was längeres), dann nachdenken, dann posten.
 

macuser

Benutzer
Mitglied seit
30. Jul 2011
Beiträge
102
Punkte für Reaktionen
6
Punkte
18
RS1619+ 64 GB RAM, 4x12 TB RAID 10, 2x250 SSD Lesecache

Backup auf USB und über Netzwerk auf ausgediente DS 715+

Grüße
 

raymond

Benutzer
Mitglied seit
10. Sep 2009
Beiträge
4.704
Punkte für Reaktionen
21
Punkte
118
RS1619+ 64 GB RAM, 4x12 TB RAID 10, 2x250 SSD Lesecache

Backup auf USB und über Netzwerk auf ausgediente DS 715+

Grüße
Auch sehr gut. Dann war ich mit meiner Empfehlung ja nicht so weit weg. Klasse das jetzt insgesamt die IT von Schulen (und ich kann aus Erfahrung u.a. von Berufsschulen berichten) auf Vordermann gebracht wird. Auch bereits, sofern intern vorhanden, über 10 GBit/s Ethernet angeschlossen?
 
Zuletzt bearbeitet:

macuser

Benutzer
Mitglied seit
30. Jul 2011
Beiträge
102
Punkte für Reaktionen
6
Punkte
18
Nein, bringt noch nichts, da die Lancom-Switche mit 10 GB noch zu astronomische Preise haben. Ist aber ein Ziel, 6 Switche über Glas zu einem vituellen Switch verbinden, alles handlicher. Jetzt nur LACP. Wir warten noch auf das Geld vom Digitalpakt. Wir investieren erst einmal in die Gebäude- und Raumverkabelung. Die IT macht uns freiwillig keiner, da muss sich jede Schule selber strecken, oder irgendwann so ein „Doofi-Schuldigitalisierungsspezialist“ mit überzogenen Preisen und minderwertiger Hardware und Netzwerkkomponenten ohne BSI-Stempel. Da standen schon genügend in der Tür.

„wir begleiten Sie.....wir erstellen Strategien für Sie......bei Problemen gibt es unseren Service (Level 1 bis 5).... damit Sie sich auf den Unterricht konzentrieren können.....“ Es ist ganz schlimm, nur „bla bla“ ohne konkrete Fakten....

Kleine Rechnung: Standard -Schulgebäude um 1900 gebaut:

WLC 4600+: 750 €
6 AP LNaC 630: ca. 6x320 €

Alles ausgeleuchtet und Klasse Roaming mit mehreren Netzen.

Firma wollte 20 AP und einen Router mit Open WRT.... Kostenpunkt im fünfstelligen Bereich...... da bekommt man einen Hals, da die Lebenszeit knapp bemessen ist.
Tablets kommen nicht zum Einsatz, mit Vorliebe feste Rechner (Tiny am Monitor verschraubt), notgedrungen eine kleine Armada Laptops mit Debian bestückt, damit sich der Wartungsaufwand in Grenzen hält.

Sorry für die Emotionen...

Grüße
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Synchrotron

raymond

Benutzer
Mitglied seit
10. Sep 2009
Beiträge
4.704
Punkte für Reaktionen
21
Punkte
118
Dann hoffe ich mal dass beim Digitalpakt auch 10 Gbit/s Switche (wenigstens einzelne Ports/Combo Ports) und ggf. neu Verkabelung drin ist. Bei 400 Personen kann das schon Sinn machen.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Sorry, aber das ist eine echt "blöde" Aussage... Netzkomponenten ohne BSI-Stempel... jou, guck Dir die Gummelliste vom BSI doch mal an... Die ganzen Cisco/HP/etc.-Dinger haben alle keine BSI-Stempel, schon allein aus dem Grund, dass diese Firmen beim BSI vorstellig werden dürften, um Zertifizierung bitten dürfen und dann auch noch Kohle für die Zertifizierung hinlegen müssten (und das alle 5 Jahre!).... Und bei diesem Tempo, welches das BSI da hinlegt... kriegen wir bestimmt bald "zertifizierte" Hardware, die dann leider schon 20-30 Jahre alt ist... "geil!.... nicht.". Also hier einen Schi.... auf die BSI-Zertifizierung zu geben ist völliger Blödsinn. Windows 10 ist auch nicht zertifiziert... OSX auch nicht "mehr"....und jetzt? Wegschmeissen? Also Kirche mal schön im Dorf lassen und einfach mit vernünftiger Hardware arbeiten (egal ob BSI-zertifiziert oder nicht) und jut is.... ;)
 

macuser

Benutzer
Mitglied seit
30. Jul 2011
Beiträge
102
Punkte für Reaktionen
6
Punkte
18
Es gibt Vorgaben, die müssen eingehalten werden. Wenn was passiert, habe ich die Brille auf. Im der Landesverwaltung werden momentan komischerweise Ciscos verbaut.

Ich habe in drei Gebäuden 4 Lancoms laufen, zwei sind von 2012 und bekommen immer noch regelmäßige Updates. Für Schulen in Verbindung mit einem WLC eine super Kombi.

https://www.lancom-systems.de/produkte/router-vpn-gateways/hochsicherheits-vpn-router/
Windows ist natürlich richtig..... das wird sehr schwierig werden (Gewohnheit der Kollegen), neue Geräte im Schulnetzwerk haben alle Debian.
Am liebsten würde ich Windows komplett aus der Schule verbannen.

Grüße
 
Zuletzt bearbeitet:

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Cisco? Ach, das ist aber komisch............................... NICHT. Punkt ist einfach a) das BSI zertifiziert NICHT kostenlos und man muss hinrennen und beantragen (Deutschland halt ;)), b) Windows 10... was meinste wohl, was so in der Politik und Co eingesetzt wird? "Ups!"...... c) es lohnt sich einfach nicht päpstlicher als der Papst zu sein, vom deutschen Bund gehen jährlich etliche Millionen (oder waren es doch Milliarden?) an Microsoft, da bleibt keine Frage offen (natürlich heulen alle rum, aber keiner ändert was dran ;)).

Ist halt Deutschland... irgendwer stellt sich wichtig in den Raum (z.B. das BSI) und sagt: "Jou, wir zertifizieren jetzt und alles andere ist verpöhnt!" Schön wäre "kostenlos" und "flott", dann wäre auch schon weitaus mehr zertifiziert, aber mit "Komm her, bring vorbei und lass Deine Kohle hier und vllt irgendwann bekommst Du unser Zertifikat, was dann auch nur 5 Jahre gültig ist und danach kommst Du gefälligst wieder angekrochen, weil Du ansonsten aus der Liste fliegst!"... da hat doch keiner Bock drauf.... Guck Dir doch die Liste der Netzwerkkomponenten an... das ist schlichtweg "lächerlich".

Und sorry, wenn ich sowas lese wie "Hochsicherheits-Router" isset bei mir auch schon wieder vorbei... Reines Marketinggewäsch... mag ja sein, dass die n bissken mehr Power unterm Hintern haben, aber ein "Kaufargument" ist das definitiv nur für Leute die keine Ahnung haben... Dazu kommt dann halt noch folgendes:

BSI-DSZ-CC-0815-2013 -> LCOS 8.70 CC with IPsec VPN

Oh, echt, IPSec? Ist ja mal was GANZ neues... NICHT... dazu kommt dann noch: LCOS 8.70? Aktuelle "Stable" ist LCOS 10.34 RU1 ...... Also wie gesagt: Dummes Marketing-Geschrei mit irgendeinem alten "abgelaufenem" Zertifikat. Natürlich nix gegen Lancom (find ich ein bisschen naja, aber jedem das seine). Ich z.B. nutze Sophos (der Fairness halber: BSI-DSZ-CC-1016-2020 ist nämlich im Februar 20 auch ausgelaufen) und sorry, wenn alle dicken Hersteller dieser Welt auf das BSI eindreschen (HP, Juniper, etc.).... das kriegen die IM LEBEN NICHT gebacken... und deswegen läuft das auch alles genau so wie es derzeit läuft, weswegen die BSI-Zertifizierung dann doch eher "fragwürdig" ist, oder ggf. eher als "nice2have" anzusehen ist.

Sorry, nix für ungut, aber... weg BSI-Zertifizierungen und weg von irgendwelchen besch... eidenen Buzzwords wie "Hochsicherheitsrouter" ;)
 

macuser

Benutzer
Mitglied seit
30. Jul 2011
Beiträge
102
Punkte für Reaktionen
6
Punkte
18
Ist ja ok, aber wird dürfen nicht anders. Sophos war auch in der Überlegung, aber die sich wiederholenden Lizenzkosten sind für eine Schule nicht zu stemmen. Ich persönlich hätte gerne Draytek verbaut. Nun ist es Lancom geworden, und es ist sehr leicht zu händeln...
Dann bin ich eben ahnungslos oder der Einäugige unter Blinden (vielleicht mit Sonnenbrille).

Grüße
 
Zuletzt bearbeitet:

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Genau diesen "Blödsinn" mit den Lizenzkosten (sorry, hat Historie durch sehr häufige Fehleinschätzungen ?) hab ich schon öfters gehört.... Es kommt halt darauf an, was man so macht. Wenn Ihr z.B. viel VPN nutzt - je nach Useranzahl - ist man bei Lancom auch nicht grade besser aufgehoben (durch die Neulizenzierungs- und Verlängerungskosten der VPN-Lizenzen (pro Client + Site2Site)). Je nachdem was halt so gebraucht wird, reichen halt i.d.R. auch die kleineren Sophos-Kisten... mehr als eine schnöde Network-Subscription (zwecks VPN) hab ich bisher auch nie gebraucht (ausser natürlich mal will noch weitere Features nutzen, da wäre die Fullguard-Subscription dann ggf. am günstigten). Kommt aber halt immer darauf an, was alles damit gemacht werden soll (VPN, WLAN, (Reverse-)Proxy, etc.). Von daher ist das mit dem Blödsinn jetzt auch nicht auf Dich persönlich bezogen, sondern eher genereller Natur. ? Vieles kann man halt auch "anderweitig" lösen. Grundsätzlich ist es relativ egal, was man einsetzt, solange man es richtig einschätzt. :)
 

macuser

Benutzer
Mitglied seit
30. Jul 2011
Beiträge
102
Punkte für Reaktionen
6
Punkte
18
Hallo, momentan gibt es wieder in Massen Spams mit Emotet-Trojaner. Dieser dürfte doch eigentlich nicht die Synology direkt angreifen? Meist ist es eine Verschlüsselung der Daten aus Windows heraus? In unmittelbarer Nachbarschaft hat sich jemand "verklickt".
Wir hatten auch schon mal vor ein paar Jahren einen Verschlüsselungstrojaner, mir blieb nichts weiteres übrig, als die Festplatte auszubauen, auf Eis zu legen, PC neu aufzusetzen und den befallenen Account zu löschen.

Mit meinem Backup-System bin ich mir noch nicht ganz sicher, ob die Absicherung reicht. Über HyperBackup wird täglich ein komplettes Backup auf eine USB-Platte und eine DS715+ erstellt. Offline-Backup-System wird gerade angeschafft, da ist noch eine Lücke.

Wenn sich beispielsweise in der Verwaltung jemand einen Verschlüsselungstrojaner eingefangen hat, ist es sinnvoll, den Inhalt des Ordner "home" zu löschen das Backup zurückzuspielen?
Eigentlich sollte dann alles sauber sein... neu aufgesetzter PC, home-Inhalt gelöscht, Backup zurückgespielt
oder besser den kompletten Account vom NAS entfernen und dann zurückspielen?

Grüße
M
 

raymond

Benutzer
Mitglied seit
10. Sep 2009
Beiträge
4.704
Punkte für Reaktionen
21
Punkte
118
Zuletzt bearbeitet:

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.097
Punkte für Reaktionen
2.065
Punkte
259
Die Verschlüsselungsmafia geht inzwischen dazu über, Netzwerke, die lohnend erscheinen, gezielt auszuspähen und vor allem die Backups anzugreifen.

Die „sichere“ Lösung (jedenfalls nach aktuellem Stand) ist die, eine weitere DS in einem getrennten Netz aufzusetzen. Von dort aus (! - nicht umgekehrt) wird eine Verbindung zum Netz der “Haupt“DS aufgebaut und ein Backup gezogen. Damit hat die eventuell angreifbare „Haupt“DS keine Zugangsdaten zur BackupDS. Ist das Backup dort versioniert, kann man ggf. vor den Zeitpunkt einer Infektion zurück setzen.
 
  • Like
Reaktionen: dil88 und raymond

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.097
Punkte für Reaktionen
2.065
Punkte
259
Zur Absicherung kann man in seinem Netzwerk auch noch einen „Honeypot“ Installieren, z.B. In Form eines kleinen billigen Raspberry Pis. Der simuliert mit OpenSource-Software einen schlecht abgesicherten Server, ein lohnendes Ziel also. Nur hat dieser Server außer „da“ zu sein keinerlei Funktion. Es gibt also keinen legitimen Grund, sich dort einzuloggen. Hier die Beschreibung:

Auf einem Raspberrypi wird Opencanary installiert. Es hat die Aufgabe eines Honeypots für eventuelle Hacker.

Es simuliert eine Reihe von Servern. Versucht sich jemand dort anzumelden, wird der Admin über E-Mail benachrichtigt.

Es wird die IP des Rechners mitgegeben, von dem die Anfrage kam. Dort ist die Schadsoftware zu suchen.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Ist halt auch immer die Frage, was erlaubt ist und was nicht... Gibt ja nicht umsonst Wartungsnetze, so dass die normalen User halt "maximal" via CIFS auf die Freigaben zugreifen können. Davon ab... es gibt mehr als genügend Möglichkeiten auch diesen Trojaner-Mist rauszufischen... Technische Mittel sind das eine, aber die Blödh.... das Unwissen der User etwas ganz anderes. Hier helfen regelmässige Schulungen. ;)
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.097
Punkte für Reaktionen
2.065
Punkte
259
„Helfen...“ nun ja „Verhindern manchmal das Schlimmste“ würde es wohl eher treffen.

Das gezielte Social Engineering verbunden mit beiläufigen Entscheidungen über Kleinigkeiten („nur mal eben hier drauf klicken“) unter Zeitdruck führen einfach zu einem Schlupf an potenziellen Sicherheitsproblemen. Gute, gesicherte Backups sind im Fall der Fälle dann tatsächlich die letzte Rückfallebene.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
"Helfen", nicht "beseitigen" ;) Bei vernünftigem Social-Engineering hört das denken bei den meisten sowieso direkt auf.... Auch wenn der Chef eine Mail verschickt mit einem Link "Hier meine neuen Urlaubsbilder".... ?

Da hatte Sophos vor einiger Zeit (k.a. ob es das noch gibt) eine ganz lustige Geschichte laufen: Man konnte sich ein entsprechendes Konto erstellen und basierend auf Templates (oder selbst bauen) Spam an die eigenen User verschicken. Anhand von geöffneten Mails, eingegebenen Daten, usw. wurden entsprechende Profile der User erstellt und je nachdem wie oft sowas vorkam, wurde in erster Linie ein Link zu einer Online-Aufklärung verschickt, bei Mehrfachverstössen konnten dann u.U. auch noch weitere Schritte (Gespräch, etc.) eingeleitet werden. Einfach nur, damit man generell mal ein Feedback zum aktuellen Stand der User bekommt.

Letzte Linie sind sowieso immer die Backups, wobei mir da auch immer viel zu wenig auf Funktionalität getestet wird, aber jut, auch das muss jeder für sich selbst entscheiden. Will ja auch niemand drüber reden, dass IT eben NICHT nur "Computer ist kaputt, reparier mal..." ist, sondern - meiner Meinung nach - der Fokus ganz woanders liegt (auch, wenn es mitunter halt Teil des Jobs ist).

Btw... Honeypot-Geschichten muss man auch erstmal auswerten können... Bringt also nicht wirklich sonderlich viel, wenn man sich so ein Teil in ein Netz hängt und man trotzdem nicht versteht, was da genau vor sich geht ;)
 

macuser

Benutzer
Mitglied seit
30. Jul 2011
Beiträge
102
Punkte für Reaktionen
6
Punkte
18
Hallo, ich denke, dass Backupsicherung reicht. SMB ist im pädagogischen Bereich komplett gesperrt für Normal-User. Verwaltung hat über SMB Zugriff nach VPN Einwahl ins pädagogische Netz. Problematisch ist E-Mail als Einfallstor. Manuelle Backups werden in der Verwaltung (nur 4 Rechner) sowieso wöchentlich auf ext. Festplatte erstellt.

Neubespielen der PC‘s und Rückspielen der Daten ist eigentlich unproblematisch über ein Backup. Nächste Woche hole ich mir ein USB Festplattendock, dann ziehe ich von der RS monatlich noch ein manuelles Backup und lege es in die Schublade.
Ich bin mir eben nicht sicher, ob die momentanen automatischen Backups auf USB und zweite DS bei einer „Verseuchung“ sauber bleiben.

Die Verwaltung wird netzwerktechnisch eh an das Landesnetz angeschlossen, da sind eh nur die notwendigsten Dienste ins Internet offen. Im Keller ist jetzt schon eine Verschlüsselungseinheit und ein Cisco montiert. Wenn alles migriert ist, kann ich eh nichts machen. Problematisch bleiben leider Gottes die E-Mails.

Grüße
(toller Austausch hier im Forum)
 

raymond

Benutzer
Mitglied seit
10. Sep 2009
Beiträge
4.704
Punkte für Reaktionen
21
Punkte
118
Bei schadhaften E-Mails helfen nur Schulung der Mitarbeiter und Virenscanner direkt auf dem Mailserver.
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.097
Punkte für Reaktionen
2.065
Punkte
259
Plus einige Einstellungen, die Office betreffen, wie das Blockieren der automatischen Ausführung von Makros.

Bin da überfragt, weil ich auf die Mac-eigene Alternative umgestiegen bin.

Aber es gibt sicher Ideen im Forum (eventuell neuen Thread eröffnen). Sonst hat Heise nach ihrer eigenen Emotet-Attacke auch einiges herausgebracht, m.w. Z.T. allerdings hinter ihrer Paywall.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat