Das Neue Schulnetzwerk

Code & Zahlen

Karte zum Beitrag

Unsere Schule hat vor einigen Wochen das komplette Netzwerk umgestellt. Bisher hatten wir einfach nur eine Ansammlung Computer, die alle im gleichen Netzwerk zusammen geschlossen waren und hauptsächlich für den Internetzugang benutzt worden sind. Der Lehrerrechner im Informatik-Computerraum hatte einige Dateifreigaben, jedoch war der Rechner nicht für 30 Anfragen gleichzeitig gewachsen, so dass zwischenzeitlich eine Onlinefestplatte genutzt worden war.

Jetzt haben wir einen richtigen Schulserver, der wohl auch unter Linux läuft. Die Rechner im Informatik-Computerraum hängen nun in einer Domäne an dem Server, jeder Schüler hat nun ein eigenes Benutzerkonto mit Passwort sowie persönlichem Speicherplatz. Jedoch hat jeder Schüler nur 39 MB Speicherplatz. Bei ungefähr 800 Benutzerkonten sind das gerade mal 32 GB, die auf dem Server belegt werden. Serverfestplatten kosten natürlich mehr als Platten für den Privatanwender, jedoch sollte jeder Schüler doch etwas mehr Speicherplatz bekommen, in Informatik sollte ein PDF verteilt werden, was mit 12 MB jedoch nicht mehr in den Speicherplatz passt. Die ganzen persönlichen Einstellungen werden auch innerhalb dieser 39 MB abgelegt und anscheinend sind das recht viele Einstellungen, so dass nur ungefähr 10 MB für echte Daten bleiben. In Zeiten von 8 GB USB-Sticks ist nicht wirklich viel.

Der Server bietet dem Lehrer aber Funktionen, die vorher nur umständlich von Hand gemacht werden konnten. So können jetzt einfach Dateien an alle verteilt werden und auch Dateien von allen Schülern eingesammelt werden. So kann eine Arbeit am Computer, zum Beispiel ein geschriebenes Programm, einfach eingesammelt und vom Lehrer kontrolliert werden. Bei den kleinen Programmen, die wir im Unterricht schreiben, reichen auch die 10 MB vollkommen aus. Darüber hinaus kann der Lehrer auch den Bildschirminhalt von einem Schüler auf den Beamer schalten, so das dieser sein Programm präsentieren kann.

Bei der Einrichtung der neuen Rechner wurde nicht mehr jeder Rechner einzeln installiert, sondern ein Rechner installiert und konfiguriert und dann die Installation auf alle anderen kopiert. Wie schon in der Bibliothek üblich wurden die Rechner so konfiguriert, dass bei einem Neustart alle veränderten Dateien zurückgesetzt werden. Das schützt das gesamte System gut vor Veränderungen, Viren sind am nächsten Tag weg, und eventuell kaputt gegangene Systemdateien sind nach einem Neustart wieder da. Der Nachteil ist nur, dass Updates oder sinnvolle Einstellungen nicht gespeichert werden. So ist auf den Rechnern immer noch ein Firefox 3.0 installiert, überall die Standardlesezeichen als Symbolleiste sowie die Google Toolbar. Das ganze auf einem 1024*786 Pixel Monitor frisst dann doch mehr Platz als nötig.

Um dieses Problem zu umgehen wurde ein Abgleich mit dem Server eingerichtet, auf dem Windows des Servers werden alle Updates und neue Einstellungen durchgeführt, beim nächsten Start erhält jeder Computer die neue Software. Das dauert jedoch, auch wenn keine Dateien kopiert werden müssen vorher alle Dateien verglichen werden, wenn ein ganzer Kurs die Rechner startet müssen gut 25 Computer abgeglichen werden. Um die Wartezeit zu vermeiden werden die Rechner jetzt einfach über den Tag nicht ausgeschaltet, man muss sich nur noch anmelden, was recht schnell geht.

Über den Stromverbrauch in Stunden, in denen die Rechner dann doch nicht benutzt werden, kann man natürlich streiten, davon abgesehen ist dieser Teil des Systems durchaus eine Verbesserung.

Die Sicherheit in dem Netzwerk sollte verbessert werden, was letztlich bedeutet, dass weniger Dinge möglich sein sollen. So wurde früher jedem Rechner, der mit dem Netzwerk verbunden worden ist, einfach über DHCP eine IP Adresse zugewiesen, man konnte durch den Schulfilter dann ins Internet. Eine IP Adresse samt DNS-Server und Gateway bekommt man mit seinem eigenen Computer immer noch, aber ins Internet kann man nicht mehr. Auf Nachfrage wurde mir dann gesagt, dass die MAC-Adresse gegen eine Liste geprüft wird, nur Rechner, die auch in der Liste stehen, dürfen ins Internet. Praktisch bedeutet das, dass jeder Rechner, den man in der Schule verwenden möchte, vorher angemeldet werden muss, und die MAC-Adresse vom zuständigen Lehrer eingetragen werden muss.

An sich ist das sicher keine allzu schlechte Idee, fremde Rechner auszusperren, da könnten Viren und andere Schadprogramme eingeschleust werden. Da man aber zum einen die MAC-Adresse eines Computers ändern kann, und zum anderen auch Schädlinge per USB-Stick oder direkt über das Internet in das Netzwerk gelangen können, halte ich das Risiko für einigermaßen erträglich. Möchte ich in der Schule in einer Freistunde also meine E-Mails abholen, kann ich entweder einen der Schulcomputer nehmen (zu den Einschränkungen komme ich gleich) oder eine UMTS Karte für mein eigenes Laptop benutzen. Letzteres kostet natürlich nicht unerheblich.

Die Schulrechner oder eher der Schulfilter stellen aber ein Problem dar: Zur Umgehung von Firewalls wie eben dem Schulfilter gibt es einige Server, die Verbindungen zu der Webseite, die jemand besuchen möchte, über sich laufen lassen und dann die Daten zum Benutzer verschlüsselt (über SSL, https://) übertragen. Für den Schulfilter sieht es so aus, als wäre man einfach auf einer harmlosen Seite, denn die eigentlichen Inhalte kann der Filter durch die Verschlüsselung nicht einsehen. Die Konsequenz für den Admin war dann, einfach sämtliche Verbindungen über https:// zu sperren.

Der Login von allen besseren Seiten geht natürlich über so eine verschlüsselte Verbindung. Einige bieten SSL als Option an, andere bieten eine Version ohne Verschlüsselung an. Mein E-Mail-Provider lässt jedoch nur einen Login über SSL zu, denn wenn man eben keine Verschlüsselung benutzt, wrid das Passwort im Klartext übertragen, würde der Admin ein Protokoll aller übertragenen Daten machen, könnte er das Passwort und die E-Mail-Adresse einfach ablesen.

Ich kann jetzt also nur sehr unsicher auf meine E-Mails zugreifen, ohne die Verschlüsselung wäre es problemlos möglich an jeder Stelle im Schulnetz (und im Netz der Stadt, über die die Schule ins Internet kommt) meine Zugangsdaten und E-Mails mitzulesen. Dagegen würden S/MIME oder PGP verschlüsselte E-Mails helfen, jedoch wären meine Zugangsdaten immer noch ablesbar. Somit kann ich über das Schulnetz keine E-Mails sicher abrufen.

»Man soll aber gar keine privaten E-Mails in der Schule abrufen« kann man jetzt sagen. Okay, das stimmt sicher. Aber wenn ich in der Schule für ein Referat recherchiere, dann sammle ich Bilder und Texte zusammen, die ich gerne zu hause weiter bearbeiten möchte. Normalerweise würde ich diese Dateien dann auf meinen Dropbox-Account hochladen, jedoch verschlüsselt Dropbox den Login und die Übertragung aller Dateien und dies wird vom Schulfilter direkt geblockt. Eine unverschlüsselte Übertragung ist auch hier nicht sinnvoll, da dann wieder mein Passwort zugänglich wäre. Um die von der Schule aus hochgeladenen Dateien sorge ich mich nicht wirklich, meine anderen privaten Dateien schon. Ein E-Mail-Account um sich die Dateien selbst zuzuschicken wäre eventuell noch eine Lösung, dann müsste man sich aber einen Provider heraussuchen, der keine verschlüsselte Verbindung erfordert. Der Account müsste natürlich dann nur für die Schulsachen sein, schließlich kann das Passwort nicht geheim gehalten werden.

Meine persönlichen 10 MB sind nicht nur zu klein für die meisten Sachen, sondern können auch von außerhalb der Schule nicht abgerufen werden. Ein VPN wäre hier eine schöne Lösung, doch dies wird aus Sicherheitsgründen nicht gemacht.

Womit die letzte Lösung ein USB-Stick wäre. Den steckt man ein, kopiert die Daten drauf und kann diese Zuhause dann weiter benutzen. Leider sind in der Bücherei USB-Sticks verboten, wegen Virengefahr.

Somit haben wir jetzt ein wunderbares System, das auch recht sicher ist. Möchte man damit doch dann etwas machen, was über das Nachschlagen eines Wikipedia-Artikels geht, steht man schon an der Wand. Ohne die Regeln zu brechen kann man keine Dateien sicher und Komfortabel mit nach Hause nehmen, der extra erstellte E-Mail-Account ist momentan meine einzige Idee.

Jedoch habe ich bisher keinen E-Mail-Account gefunden, der sich nicht über SSL einloggt und von daher in der Schule funktioniert. Der betreuende Lehrer sagte, er wüsste gar nichts vom Verbot der USB-Sticks, von daher sollte ich dann einfach immer einen USB-Stick mitbringen.

Ich scheine nicht der einzige zu sein, den das neue System stört. So waren wir heute morgen im Erdkunderaum, in dem ein Rechner mit Beamer und Netzwerkzugang steht. Doch auf Grund der MAC-Filterung konnten wir nichts im Internet nachschauen, da der Rechner noch nicht in die Liste des Schulfilters aufgenommen worden ist.

Aber das System ist ja erst ein paar Wochen alt, das wird schon …