Forum KOPI Strona Główna KOPI
Forum Klubu Opiekunów Pracowni Internetowych
 
 FAQFAQ   SzukajSzukaj   UżytkownicyUżytkownicy   GrupyGrupy   RejestracjaRejestracja 
 ProfilProfil   Zaloguj się, by sprawdzić wiadomościZaloguj się, by sprawdzić wiadomości   ZalogujZaloguj 

Rozwiązania i programy w ochronie szkolnych pracowni
Idź do strony 1, 2, 3  Następny
 
Napisz nowy temat   Odpowiedz do tematu    Forum KOPI Strona Główna -> Programy przydatne opiekunowi pracowni
Zobacz poprzedni temat :: Zobacz następny temat  
Autor Wiadomość
Mirek
Administrator


Dołączył: 04 Sep 2004
Posty: 974
Pomógł: 4
Skąd: Kęsowa

PostWysłany: Wed Jun 01, 2005 9:01 am    Temat postu: Rozwiązania i programy w ochronie szkolnych pracowni Odpowiedz z cytatem

Sprawa odpowiedniego zabezpieczenia pracowni szkolnej staje się priorytetowym zadaniem opiekuna. Jak zabezpieczać, gdy brak funduszy na stałą ochronę, brak też często właściwego podejścia do tego problemu naszych szefów i ich przełożonych.
Na wielu forach i grupach dyskusyjnych poruszano ten problem. Głosy, jak zwykle są podzielone. Zwłaszcza, gdy dyskusja dotyczy programów antywirusowych. Dominują oczywiście programy darmowe, których promocja, jak się często okazuje jest zwykłym chwytem marketingowym. Trudno dziś z tych propozycji zastosować odpowiedni wariant zwłaszcza w zastosowaniu do serwera i sporej grupy jego klientów.
Z podziwem myślę o tych, którzy potrafią sobie z tym radzić. Dlatego proszę o przykłady rozwiązań stosowanych w codziennej praktyce szkolnej ochrony. Poruszam ten temat, bo jestem przekonany, że z wielu podawanych przez was przykładów możemy wypracować gotowe wzorce, które będą przydatne w naszej pracy.
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
Mirek
Administrator


Dołączył: 04 Sep 2004
Posty: 974
Pomógł: 4
Skąd: Kęsowa

PostWysłany: Wed Jun 01, 2005 9:30 am    Temat postu: moja ochrona Odpowiedz z cytatem

Po własnych uciążliwych zmaganiach z CWSami na klientach Win XP pod SBS 2003 zastosowałem nie posiadając oczywiście odpowiednich środków finansowych nsp. kierunki pracy w tym zakresie:

- ustawienie automatycznej aktualizacji;
- zastosowanie darmowego programu Microsoft AntiSpyware (Beta1)
- wykorzystanie Wizualnego Nadzoru lub Interka do blokowania
- na serwerze MKS Vir

Do tej pory były to rozwiązania skuteczne, zwłaszcza, że użytkownicy sieci mają zmniejszone przydziały dyskowe, a ich praca zapisywana jest na serwerze, gdzie do października mam MKSa. Jednak, co dalej jeszcze nie wiem, bo funduszy jak zwykle brak. Pewną nadzieją zostałem natchniony w Mrozach po rozmowie z Radkiem - adminem Eduforum, który zaproponował rozwiązania stosowane w jego firmie. Jest to temat do którego zawsze też namawiał nas Maciek. Mowa o połączeniu SBSa z Linuksem a właściwie z jego najbardziej przydatnymi w tym zakresie programami. W dyskusji z kolegami w Mrozach obiecałem rozwinąć ten temat. Mam nadzieję, że wspólnie z Maćkiem i Radkiem ruszymy z tym zagadnieniem praktycznie.
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
Maciek
Administrator


Dołączył: 01 Nov 2004
Posty: 2225
Pomógł: 23
Skąd: z Księżyca

PostWysłany: Wed Jun 01, 2005 7:56 pm    Temat postu: Odpowiedz z cytatem

Bezpieczeństwem serwerów zajmuję się już od ponad trzech lat, ale wcale nie znaczy to, ze uważam się za jakiegoś guru. Na co dzień zarządzam kilkoma serwerami z całą gamą udostępnionych usług (internet to usługi, bez nich to równie dobrze mógłbym kompa w szafie pancernej zamknąć). Przez cały ten okres zanotowałem jedno udane włamanie (i to na konto użytkownika wyłącznie, za słabe hasło). A prób były tysiące. Z całą stanowczością upieram się przy tym, że bezpieczeństwo zapewnia serwer *niksowy (obojętnie czy będzie to Linux, BSD, czy Solaris) i odpowiednie podejście admina.
Co prawda mówi się, że wyłącznie od administratora zależy bezpieczeństwo serwera, ale nawet najlepszy administrator będzie miał twardy orzech do zgryzienia mając pustą kasę i dziurawy system. Stąd zalecam linuksa i wielokrotnie na naszych spotkaniach o tym mówiłem dlaczego. Rzecz jasna skoro już Mirek wywołał mnie do tablicy, to mogę zadeklarować pomoc tam, gdzie opiekuowie zdecydują się wdrożyć nowe rozwiązania.
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
Mirek
Administrator


Dołączył: 04 Sep 2004
Posty: 974
Pomógł: 4
Skąd: Kęsowa

PostWysłany: Wed Jun 01, 2005 9:23 pm    Temat postu: czy linuks musi być serwerem Odpowiedz z cytatem

No właśnie, czy linuks musi być serwerem. Czy nie można tak konfigurować sieci, by dhcp zostało na SBSie a linuks był zwykłą zaporą przeznaczoną tylko do filtrowania internetu. O takim rozwiązaniu dyskutowaliśmy w Mrozach. Wynika to z faktu trudnego do pogodzenia (z różnych przyczyn zresztą), by rezygnować z całkiem dobrego już SBS 2003. Pozostaje natomiast problem klientów. Choć słyszałem, że można wkomponować do tego zestawu linuksową Sambę.
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
Leszek Misiuk
Moderator


Dołączył: 16 Sep 2004
Posty: 268
Skąd: Sztum

PostWysłany: Thu Jun 02, 2005 7:46 am    Temat postu: Bezpieczeństwo Odpowiedz z cytatem

Zacznę może od tego, że używam Sbs2000 od 3 lat. Do chwili obecnej ani na stacjach ani na serwerze nie miałem zadnego wirusa, no raz sam sobie wsadziłem ale z całą świadomością. Na stacjach jak na razie nie mam nic tzn żadnych śmieci i to przy braku jakichkolwiek programów antywirusowych. Może to i śmieszne ale prawdziwe- mam tylko ustawione na porty które używam odpowiednie filtry na ISA. Nie mam odblokowanych wszystkich portów jak to zauważyłem jest robione przez integratorów pracowni podczas ich instalowania- ISA jest ale jakby jej nie było. Zastanawia mnie jednak dlaczego tych włamań nie ma czy dlatego, że na naszych serwerach nic nie ma czy dlatego że są zabezpieczone?
Mimo tego co napisałem uważam, że regulacje prawne Microsoftu są tak dziwne, że np aby dodać nowy komuter do tego serwera muszę wykupić licencję dostępową a ta z koleji jest drukowana dla szkół tylko raz w roku w maju i mało kto ją widzi.
W związku z tym wydaje mi się że zastosowanie Linuxa bądź jakiegokolwiek programu darmowego jest wskazane aby mieć święty spokój z wirusami, włamaniami, licencjamii jeszcze nie wiadomo jakimi tam problemami. W związku z tym powinniśmy zacząć się zastanawiać w jaki sposób wdrożyć to oprogramowania przynajmniej do tych szkół gdzie są zainteresowane osoby.
_________________
Opiekun szkolnej pracowni internetowej
KOPI
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość Wyślij email
Maciek
Administrator


Dołączył: 01 Nov 2004
Posty: 2225
Pomógł: 23
Skąd: z Księżyca

PostWysłany: Thu Jun 02, 2005 1:31 pm    Temat postu: Odpowiedz z cytatem

Ustosunkuję się tu do postu Mirka i Leszka jednocześnie.
Przede wszystkim pojęcie serwer. W zasadzie każdy komputer, który zajmuje się przekazywaniem pakietów, pełni funkcję routera. Serwer na dobrą sprawę jest pojęciem odnoszącym się do uruchamianych usług. I w tym pojęciu czy SBS jest serwerem? Jeśli ma np. dhcp to tak, jeśli ma proxy też... Z tym, że to moim zdaniem jest "sztukowane" wyjście, router > sbs > komputery klienckie.
Bowiem co ma robić SBS (obojętnie w jakiej wersji)? Ma być kontrolerem domeny, przydzielać użytkownikom uprawnienia (choć de facto to raczej ograniczenia), oraz katalogi z serwera. No i dobrze może to robić, może te funkcje pełnić, ale nie musi być komputerem dostarczającym internet. Właśnie serwer dhcp i serwer proxy lepiej miec na routerze linuksowym. Nie będę tu powtarzał argumentów, które przytaczane były w wielu miejscach. Zalety squida jako serwera proxy są bowiem oczywiste. Natomiast odpadnie kwestaia problemów z podłączeniem innych komputerów do sieci i do internetu. Oczywiście samba całkiem nieżle może pełnić funkcję kontrolera domeny (miałem taką konfigurację z użyciem Freesco), ale nie jest to potrzebne ani niezbędne.
Natomiast wtrącę tu jeszcze uwage na temat ISA. Moim zdaniem problemem z "tym czymś" (bo za cholerę nie wiem jak toto sklasyfikować), jest fakt, że tam wszystko jest zabronione. totalnie i permanentnie, bo w przeciwnym wypadku robi się niebezpiecznie. Daje to efekty takie, że podłączenie dodatkowego komputera, który nie musiałby się logowac do domeny staje się poważnym wyzwaniem. Przypomnę, że w Sztumie nie udało nam się podpiąć mojego laptopa. Żaden administartor nigdy nie będzie w stanie przewidzieć jakie pakiety i jakie porty będą potrzebne, żeby skorzystać z jakiejś potrzebnej użytkownikowi usługi. Dlatego wolę politykę routowania przyjetą w linuksie, że zaporę się stawia tam gdzie ona jest potrzebna, a nie szlaban na wszystko...
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
radek
Użytkownik Forum


Dołączył: 30 May 2005
Posty: 19
Skąd: 3miasto

PostWysłany: Thu Jun 02, 2005 7:59 pm    Temat postu: Odpowiedz z cytatem

Witam !

Zgodnie z ustaleniami w najblizszym czasie dostana Panstwo opisy konfiguracji linuxowego serwera proxy (squid) wraz z mozliwoscia skanowania "w locie" wszystkich informacji pobieranych z internetu przez klientow.

Problem "smieci" zasysanych ze stron internetowych nie jest problemem nowym. Bardzo duzo wirusow rozprzestrzenianych jest wlasnie poprzez poczte i strony www. System dziala na takiej zasadzie, ze jesli uzytkownik koncowy probuje otworzyc jakakolwiek strone z podejrzanym kodem, zostaje przekierowany na strone serwera, gdzie dowiaduje sie jakiego to wirusa/trojana itp. wlasnie chcial zaciagnac do siebie na komputer.

Oczywiscie znane sa takie rozwiazania rozniez wspolpracujace z Windowsowym serwerem proxy (ISA)... jednak wymagaja one nakladow pienieznych.

W Mrozach zaproponowalem rozwiazanie polegajace na tym, aby jeden z komputerow pelnil role sciany ogniowej/serwera proxy/skanera antywirusowego. Kolejna kwestia dotyczy serwera dhcp... moim zdaniem powinien zostac na windowsowym serwerku i przydzielac adresy IP reszcie komputerow z windowsem. Linux powinien miec przypisane IP na stale .. poniewaz ten adres IP bedziemy podawac klientom windowsowym (za pomoca dhcp) oraz bedzie wpisany na stale w serwerze windowsowym jako adres domyslnej bramy...

Co ciekawe, program antywirusowy, ktory bedziemy "laczyc" ze squidem ma rowniez mozliwosc skanowania dyskow, w tym dyskow sieciowych. Daje nam to kolejna mozliwosc podmontowania (powiedzmy sobie raz w tygodniu) dyskow z komputerow windowsowych i przeskanowania ich pod katem wirusow. program skanujacy tworzy calkiem zgrabny raport, ktory z kolei moze byc wyslany na adres mailowy nauczyciela .. badz zapisywany na dysku twardym (serwera linuxowego lub windowsowego)...

Program antywirusowy, o ktorym mowa to clamAV http://www.clamav.net

jesli kogos interesuje odpowiedz na pytanie: "Czy ten skaner jest dobry ?" polecam liste firm/organizacji/uniwersytetow itp. uzywajacych go: http://www.clamav.net/whos.html#pagestart

wszystkich zainsteresowanych problematyka poruszana w moim i poprzednich postach zapraszam serdecznie do dyskusji ...

ps: serwer, na ktorym fizycznie stoi strona kopi.eduforum.pl rowniez korzysta z clamAV'a



pozdrawiam wszystkich bardzo serdecznie

--
radoslaw podedworny
administrator serwerow eduforum.pl
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
Mirek
Administrator


Dołączył: 04 Sep 2004
Posty: 974
Pomógł: 4
Skąd: Kęsowa

PostWysłany: Thu Jun 02, 2005 9:15 pm    Temat postu: zabieramy sie do działania Odpowiedz z cytatem

Dzięki Wam koledzy za te wprowadzenie. Jestem przekonany, że temat ma wielu zwolenników. Nic też nie stoi na przeszkodzie, by zaraz po zakończeniu roku szkolnego zorganizować u mnie mały warsztat, który da odpowiedź na ile te rozwiązania mogą być skuteczne.
Co do opini Maćka o SBSie, to nie do końca można się z tym zgodzić. To prawda, że SBS zabezpieczony jest lepiej lokalnie niż na zewnątrz. Są usługi windowsa, którym daleko do Linuksa, ale są również takie, które w najnowszych wydaniach są bardzo przydatne, jak choćby RIS. Co do ISA też miałbym wątpliwości, co po części potwierdził Leszek. Nie znam jednak na tyle dobrze linuksa, by polemizować w tym temacie, ale dość dobrze znam opiekunów. Dlatego proponuję Maćku przeprowadzić małe testy, które opublikujemy na KOPI.
Gdyby sprawdziło się rozwiązanie Radka (mam nadzieję, że staropolskim zwyczajem połączymy przyjemne z pożytecznym spotykając się - obiecaliśmy to sobie), to spałoby się nam spokojniej.

Pozdrawiam
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
Leszek Misiuk
Moderator


Dołączył: 16 Sep 2004
Posty: 268
Skąd: Sztum

PostWysłany: Fri Jun 03, 2005 9:23 am    Temat postu: Ochrona Odpowiedz z cytatem

Pomysł już mamy myślę teraz nad popracowaniem trochę nad w miarę łatwą formą wykonania tego co napisał Radek. SBSów nie zlikwidujemy niech se szaleją w LANie a z zewnątrz postwamy porządną ścianę. £atwo się pisze Wink. Myślę o wypracowniau czegoś i pokazaniu ludziom na naszym kolejnym spotkaniu.
¦ciągam już clamva i zobaczę co to za cudo. Radka jednak poproszę o ewentualne wskazówki co do instalacji i konfuguracji.
_________________
Opiekun szkolnej pracowni internetowej
KOPI
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość Wyślij email
Maciek
Administrator


Dołączył: 01 Nov 2004
Posty: 2225
Pomógł: 23
Skąd: z Księżyca

PostWysłany: Fri Jun 03, 2005 10:07 am    Temat postu: Odpowiedz z cytatem

Chciałbym tylko dodać, że jakkolwiek clamav ma wersję windowsową (pracująca podobnie jak inne antywirusy), to de facto jego zastosowanie zasadnicze to uruchomienie go na serwerze linuksowym jako demona nadzorującego np. pocztę.
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
Gość






PostWysłany: Fri Jun 03, 2005 8:17 pm    Temat postu: Odpowiedz z cytatem

clamav jest klasycznym przykladem projektu programistycznego typu: "najpierw przemyslany; pozniej zaimplementowany". Program zasadniczo skanuje pliki ... a czy beda to pliki zawierajace poczte, czy pliki zawierajace zasoby dyskowe, czy w koncu strony www (ktore tez sa niczym innym jak tylko plikami pobieranymi z sieci za pomoca protokolu http)..nie robi mu roznicy. Cala zabawa konfiguracyjna polega na umiejetnym przekierowaniu zawartosci do clamav'a i odczytaniu wynikow jego skanowania. W przypadku squida podeprzemy sie skryptami w jezyku perl. instrukcja, ktora bedziecie mogli przetestowac juz niedlugo, testowana byla na systemach linuxowych z logiem czerwonego kapelusza (a wiec linuxa komercyjnego: RHEL jak i wersji free: FC). Nie oznacza jednak, ze nie bedzie dzialac na innych dystrybucjach.

Niestety, jak zwykle w moim przypadku najwiecej problemow jest z wolnym czasem... wiec prosze szanownych kolegow o troche cierpliwosci... w ciagu paru dni powinna sie pojawic pierwsza wersja w/w dokumentu



--
r
Powrót do góry
Platyna
Gość





PostWysłany: Mon Oct 31, 2005 2:23 pm    Temat postu: Odpowiedz z cytatem

Ja nie potrafię zrozumieć dlaczego wy się upieracie na windowsach jako serwerach?
Co robi Windoza czego Linux nie? To jest raz. Dwa...są programy,
które wymagają do pracy np. Windows SQL Server i żadnego innego, każdy
admin to rozumie. To jednak nadal nie jest powód aby serwery windowsowe
stały radośnie otwarte na świat. Moje sugestie odnoście bezpieczeństwa:
1. Zanatujcie swoje serwery windowsowe za serwerami linuksowymi,
najlepiej za pomoca jakiejś porządnej, serwerowej, dystrybucji np. Slackware.
2. Skonfigurujcie firewalle tak aby dostęp był tylko do określonych serwerów.
Szczeniactwo siedzi na waszych lekcjach i, ziewając, ściąga gówna a'la cracki
korzystając z łącz finansowanych z pieniędzy podatników.

To nie jest aż tak trudne. Powinniście przestać trząść gatkami przed uniksami. Wink

Pracuję w firmie, która zajmuje się wdrażaniem zaawansowanych struktur
informatycznych, z powodzeniem zabezpieczyliśmy w taki właśnie sposób
wielu klientów, którzy zdają się rozumieć, że windows to nie jest materiał na
serwer internetowy. Kolorowe obrazki podczas aktualizacji dają Wam złudne
poczucie bezpieczeństwa i profesjonalizmu...podczas gdy w najnowszych
wersjach windows są dziury odkryte za czasów W95.


Pozdrawiam.


Ostatnio zmieniony przez Platyna dnia Mon Oct 31, 2005 3:24 pm, w całości zmieniany 1 raz
Powrót do góry
Maciek
Administrator


Dołączył: 01 Nov 2004
Posty: 2225
Pomógł: 23
Skąd: z Księżyca

PostWysłany: Mon Oct 31, 2005 2:46 pm    Temat postu: Odpowiedz z cytatem

No i tu się zgodzę całkowicie. Razz
_________________
Belfer.one.PL

Autorski Przewodnik Kulturalny
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
Leszek Misiuk
Moderator


Dołączył: 16 Sep 2004
Posty: 268
Skąd: Sztum

PostWysłany: Mon Oct 31, 2005 7:32 pm    Temat postu: Serwery Odpowiedz z cytatem

Platynko, ja też w całości zgadzam się z Tobą, ale:
1. MEN nie pytając o zdanie nikogo (no ostatnio zaczęli już pytać) rozdaje nam oprogramowanie Microsoftu i to wszyscy nauczyciele znają i nie muszą się uczyć od nowa. Nie przeszkadza im to, że stacje i serwer trzeba raz w roku przeinstalowywać jeśli ktoś nie zna zasad stosowania zabezpieczeń, ale poradzono sobie z tym dając możłiwość szybkiego instalowania z dyskietki i ciągnięcia obrazu z serwera. Jest to wygodne i nie wymaga dużej wiedzy.
2. Tak naprawdę Linuxa nauczyciele prawie wogóle nie znają a na naukę to czasu zabardzo nie mają a części wogóle się nie chce i nie przeszkadza im to, że uczniowie administrują ich serwerami. I windows 98 im w zupełności wystraczy.
3. Administrować serwerem to nie to samo co pracować w pakiecie offica czy windowsXP. Za to nam nikt tak naprawdę nie płaci. Więc aby mieć święty spokój na ww 2 punkty nie zwracają uwagi i uczą na tym co po awarii im jeszcze zostanie. Taka jest szara rzeczywistość informatyzacji polskiej oświaty.
4. Jeśli informatyki uczą nauczyciele z przypadku albo mają jako dodatkowe godziny do etatu to napewno nie będą się uczyć Linuxa
bo po co. Ich z tego i tak nikt nie rozliczy
4 I możemy tak sobie wymieniać dalej ale o tym to już na spotkaniu w Sztumie Smile
_________________
Opiekun szkolnej pracowni internetowej
KOPI
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość Wyślij email
Maciek
Administrator


Dołączył: 01 Nov 2004
Posty: 2225
Pomógł: 23
Skąd: z Księżyca

PostWysłany: Mon Oct 31, 2005 8:01 pm    Temat postu: Odpowiedz z cytatem

Widzisz Leszek, w zasadzie masz rację, ale:
1. MEN nie daje nam wyboru to fakt, lecz windows nie jest prostszy w konfiguracji. Po prostu pracownie przychodzą skonfigurowane według jakiegoś już opracowanego pomysłu. Czy dobrego, to już inna bajka. I wszystko sobie działa, a jak napisałeś, jak nie działa, to reinstalacja i już działa. Schody zaczynają się wówczas, gdy trzeba skonfigurować coś nietypowego. Nauczyciele nie dają sobie rady, bo to jest po prostu trudne. Nawet nazewnictwo poszczególnych funkcji jest jakieś takie "polskawe" nie polskie. Mit o łatwości windows dawno już pogrzebałem. Ostatnio musiałem uruchomić windows w domu, potrzebny był mi aby skorzystać z pewnej witryny "windows only" - podczas konfiguracji karty radiowej zaczęły mi wypadać resztki włosów. Istna makabra. Na tym samym komputerze z Suse, mandriva, Xnadrosem i NND zabierało mi to najdalej 5 minut. A zaznaczam, że mam do czynienia z systemami MS od wielu lat, więc nie jestem, żadnym początkującym.
2. To, o co walczę sprowadza się w najprostszym wariancie do postawienia porządnej bramki internetowej choćby na Freesco. A jest to dużo prostsze niż wielogodzinna konfiguracja windows.
_________________
Belfer.one.PL

Autorski Przewodnik Kulturalny
Powrót do góry
Zobacz profil autora Wyślij prywatną wiadomość
Wyświetl posty z ostatnich:   
Napisz nowy temat   Odpowiedz do tematu    Forum KOPI Strona Główna -> Programy przydatne opiekunowi pracowni Wszystkie czasy w strefie CET (Europa)
Idź do strony 1, 2, 3  Następny
Strona 1 z 3

 
Skocz do:  
Nie możesz pisać nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach


Powered by phpBB © 2001, 2005 phpBB Group