[linux] Re: DHCP servers en ip ranges...

Daniel von Asmuth asmuth op bakunin.xs4all.nl
Za Jul 24 12:28:53 CEST 2010


Aldus schreef Robin van Leeuwen op Sat, Jul 24, 2010 at 11:48:34AM +0200:
> Op 23 juli 2010 14:43 schreef Daniel von Asmuth
> <asmuth op bakunin.xs4all.nl>het volgende:
> > Aldus schreef Robin van Leeuwen op Fri, Jul 23, 2010 at 12:25:58PM +0200:
> >
> > > Voor de vaste clients (alle XP) zijn er twee login accounts 'medewerker'
> > en
> > > 'student' en op
> > > basis daarvan wordt al dan niet een proxy server ingesteld.
> > Doe je de authenticatie via de studentenadministratie? Als je ??n
> > account hebt voor alle studenten is dat niet erg veilig.
> 
> Qua beveiliging zijn er twee groepen aan te wijzen. Alle medewerkers
> kunnen/mogen hun data inzien.
> Voor de studenten-accounts is het ook geen probleem dat ze elkaars bestanden
> in kunnen zien. Zij
> werken veelal op een ELO systeem en hebben lokaal weinig tot geen bestanden.
> En de bestanden
> die ze lokaal hebben kunnen/mogen onderling gedeeld worden. Het enige wat
> niet mag is dat studenten
> inzage hebben in bestanden van medewerkers. 'Studenten' is hier ook
> waarschijnlijk een wat hoog ingzette
> term :-) Je hoeft hierbij niet te denken aan universiteit of hogeschool
> studenten, maar leerlingen in een
> werk-leerbedrijf die enkele basis computervaardigheden (word/excel/etc)
> leren vanuit een ELO systeem.

No problemo: je zorgt gewoon dat de file servers waar de studenten bij
moeten kunnen in de DMZ staan of van daaruit te bereiken zijn, in
tegenstelling tot de 'groene zone'. 

Maar: dat beschermt je niet tegen het risico dat de studenten door 
op het (W)LAN te gaan sniffen de inhoud achterhalen van de bestanden
die de medewerkers bezig zijn te lezen of schrijven. Dan wordt het tijd
voor VLANS of VPNs en tunnels.

> > Bovenstaande is al niet helemaal duidelijk: als de PC's op het bedrade
> > netwerk
> > zijn aangesloten en zowel studenten als medewerkers kunnen inloggen, hoe
> > maak je dan het onderscheid? Waar mogen die studenten dan precies wel
> > of niet bij kunnen? Als de medewerkers een direkte route hebben, dan
> > kunnen de studenten die toch ook invoeren?
> >
> Het onderscheid maak ik nu door simpelweg de proxy in te stellen per
> account. Als een student inlogt is
> de browser ingesteld dat deze een proxy gebruikt. Als een medewerker inlogt
> is de browser ingesteld om
> een directe verbinding te maken. De accounts hebben geen rechten om
> wijzigingen in de proxy instellingen
> aan te brengen.

Nou heeft de beveiliging van Windows(TM) zwakke plekken....

> Het probleem is ook niet zozeer dat de studenten geen gebruik mogen maken
> van de directe verbinding.
> Het probleem is dat het internetverkeer enigsinds inzichtelijk blijft. We
> hebben het hier over leerlingen
> van een jaar of 14 tot 16. In principe hebben zij vrij toegang tot internet
> en hebben zelf de verantwoordelijkheid
> om te zorgen dat zij hun studieopdrachten voltooien. Op het moment dat
> studieresultaten omlaag gaan
> moeten die jongens wel op een of andere manier geconfronteerd kunnen worden
> met het feit dat de
> persoon in kwestie ook wel 95% van zijn tijd spendeerd aan het kijken naar
> filmpjes op Youtube...
> 
> We willen het internet niet aan banden leggen of filteren zodat bijvoorbeeld
> helemaal geen 'foute' sites
> bezocht kunnen worden. Zoals gezegd dit is een werk-leer bedrijf en als deze
> jongens later in een normaal
> bedrijf gaan werken zullen ze ook de mogelijkheid hebben om de hele dag
> filmpjes te kijken op youtube.
> We proberen ze hier te sturen zodat ze hun eigen verantwoordelijkheid daarin
> nemen, alleen daarvoor moet
> wel informatie beschikbaar zijn. Dus het internetverkeer van de studenten
> via een proxy-server zodat
> en globaal wat statistiekjes uitgedraaid kunnen worden over wat de student
> een beetje uitvoerd op zo'n dag...

Squid ondersteunt HTTP, HTTPS en FTP. Uit de log kun je halen welk IP
adres wanneer wat gedownload heeft. Daarna moet je nog achterhalen welke
gebruiker op dat moment vanaf dat IP adres was ingelogd, aanhand van de log
van de authenticatie (LDAP) server. 

Met vriendelijke groet,



Daniel von Asmuth.

-- 
		All true information in this message is freely redistributable
		Any lies are strictly protected by copyright



More information about the Linux mailing list