IServ in der Schulverwaltung

Aus dem IServ-Wiki
Version vom 9. Februar 2016, 16:06 Uhr von Joerg.ludwig (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „== 1. Hosting == === a) Separate Hardware === Der Verwaltungsserver wird auf separate Hardware installiert. Sicherheit: Höchste Sicherheit. Aufwand: Es f…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

1. Hosting

a) Separate Hardware

Der Verwaltungsserver wird auf separate Hardware installiert.

Sicherheit: Höchste Sicherheit.

Aufwand: Es fällt nur der normale Aufwand zur Einrichtung eines Portalservers an. Die Arbeiten können von jedem eingewiesenen Techniker vorgenommen werden.

Kosten: Zusätzlicher Server.

b) Virtualisierung mit Xen

Auf dem bestehenden Schulserver wird ein Xen-Host mit zwei VMs installiert. In diesen laufen zwei getrennte Server für das pädagogische Netzwerk und das Verwaltungsnetz. Die Dateisysteme liegen in separaten Volumes eines LVM (10 GB für Xen, 100 GB für Verwaltung, min. 250 GB für pädagogischen Server). Jeder VM wird ein fester Hauptspeicherbereich zugeordnet (1 GB für Xen, 1-2 GB für Verwaltung, min. 4 GB für den pädagogischen Server). Netzwerkschnittstellen können nach Bedarf einzeln zugeordnet oder gemeinsam genutzt werden.

Sicherheit: Sicherheitslücken in Xen waren bisher selten und benötigen bestimmte Rechte in den VMs. Der Xen-Host ist von außen nur per SSH zu Fernwartungszwecken erreichbar, dabei kommt das IServ-Fernwartungs-Verfahren mit Zwei-Faktor-Authentifizierung zum Einsatz.

Aufwand: Die Umstellung eines bestehenden Servers ist kompliziert und langwierig. Laufende Updates können automatisch eingespielt werden, neue Releases müssen etwa jede zwei Jahre manuell eingespielt werden. Die VMs selbst haben nur geringe Unterschiede zu physikalischen Maschinen und können normal gewartet werden.

Kosten: Für Xen fallen keine Lizenzkosten an. Ein bestehender Server kann nach Prüfung weiterverwendet werden, unter Umständen ist eine Aufrüstung nötig.

c) Im Rechenzentrum gehostet

Der Verwaltungsserver wird im Rechenzentrum als virtueller Server gehostet, zum Beispiel bei der Stadt, von Reese IT oder von IServ. Die Auftragsdatenverarbeitung von Verwaltungsdaten ist allerdings in SH vom Bildungsministerium genehmigungspflichtig.

Sicherheit: Hoch, wie bei Virtualisierung.

Aufwand: Abhängig vom Automatisierungsgrad.

Kosten: Abhängig von genauer Umsetzung.

2. Netzwerkanbindung

a) Separater Internetzugang mit eigener öffentlicher IP-Adresse

Der Verwaltungsserver kann ohne Einschränkungen von außen erreicht werden. Auch E-Mail kann normal genutzt werden.

b) Geteilter Internetzugang

Der Verwaltungsserver kann keine E-Mails von außen empfangen, da nur eine öffentliche IP-Adresse vorhanden ist und E-Mail immer Port 25 zum Zustellen verwendet. Eine Annahme der E-Mails durch den pädagogischen IServ mit Weiterleitung an den Verwaltungsserver würde die Sicherheitsvorteile durch die Trennung der Server aufheben.

Für den Zugriff auf die Weboberfläche per https müsste ein alternativer Port genutzt werden, was für die Lehrer verwirrend sein dürfte (z. B. http://meine-schulverwaltung:4443/). Sofern die Lehrer beim Zugriff die korrekte URL verwenden und eventuelle Zertifikatsfehler nicht ignorieren, ist Verbindung zum Verwaltungsserver aber sicher, auch wenn der pädagogische IServ oder ein anderer Router vorgeschaltet ist. Wird zum Zugriff auf den Verwaltungsserver ein Link auf dem pädagogischen IServ gesetzt, so könnte dieser möglicherweise manipuliert werden um die Zugangsdaten abzugreifen.

3. Domain

Pädagogischer IServ und Verwaltungsserver müssen unterschiedliche Domains verwenden (z. B. meine-schule.de und meine-schulverwaltung.de). Bei Subdomains besteht die Gefahr, dass einer der Server ein SSL-Zertifikat im Namen des anderen Server beantragt und damit Verbindungen abgreift. Der Mehraufwand dafür ist allerdings minimal.


4. Backup

Pädagogischer IServ und Verwaltungsserver können auf den selben Backupserver gesichert werden. Der IServ Backupserver holt sich selbstständig die Daten vom Portalserver, umgekehrt ist aber kein Zugriff vom Portal- auf den Backupserver möglich.


5. Organisatorische Maßnahmen

5.1. Mailumleitung verbieten

Auf dem Verwaltungsserver sollte eine Mailumleitung generell verboten werden. Ein entsprechendes Recht können wir bei Bedarf kurzfristig in IServ einbauen.

5.2. Gleiche Passwörter verbieten

Um die Server gegeneinander abzusichern, müssen die Benutzer unterschiedliche Passwörter auf dem pädagogischen IServ und dem Verwaltungsserver verwenden. Bei der Vergabe eines neuen Passwortes sicherzustellen, dass nicht bereits das gleiche auf dem anderen Server verwendet wird, erfordert, dass die Server das neue Passwort entweder im Klartext oder das bestehende als Hash austauschen. Beides birgt Sicherheitsrisiken. Eine Umsetzung per Dienstanweisung erscheint daher sinnvoller.