mboost-dp1
unknown
det du snakker om at der kun stod en 5 ports switch, var en løsning for at der var nogle der kunne bruge deres bærbar på skolen inden at det trådløse kom op. der var ialt sat 3 x 5ports op på htx-afdelingen. der var lavet regler om at de skulle fjernes så snart det trådløse kørte.
når du snakker om ukrypteret wlan og at du kan snuse dig frem til alle ting, så skal du også tænke lidt på det alm. lan. man kan næsten finde frem til lige så meget på en netværk forbundet med kabler. der kan du også finde frem til hvad de andre sender rundt af spændende informationer.
angående med at du ikke kan bruge andre operativsystemer end windows til print, så er det nok fordi at den løsning de har på skolen hvor i kun har et bestemt antal penge til print. hvis der ikke lukkes af for feks linux så ville i kunne gå udenom det system. og så vidt jeg ved, så har i kunne printe ud, lige indtil for en måned siden, hvor det er blevet lukket.
når du snakker om ukrypteret wlan og at du kan snuse dig frem til alle ting, så skal du også tænke lidt på det alm. lan. man kan næsten finde frem til lige så meget på en netværk forbundet med kabler. der kan du også finde frem til hvad de andre sender rundt af spændende informationer.
angående med at du ikke kan bruge andre operativsystemer end windows til print, så er det nok fordi at den løsning de har på skolen hvor i kun har et bestemt antal penge til print. hvis der ikke lukkes af for feks linux så ville i kunne gå udenom det system. og så vidt jeg ved, så har i kunne printe ud, lige indtil for en måned siden, hvor det er blevet lukket.
#51
Siger du at skolens printer system er baseret på goodwill? Altså dvs. klienten fortæller venligst serveren hvor meget den udskriver når den skriver ud, og serveren svarer ja hvis du må udskrive mere og ellers nej?
Hvis det er lavet sådan så ville er det godt nok ris til egen røv. Så kan Windows brugere jo forhelvede da gøre det samme, bare ved at bruge printerne på samme måde som windows brugerne.
Der findes printersystemer der tillader både Mac, Linux, Windows at printe på samme netværk med begrænsninger, så brug dog det istedetfor. Men du kan ikke smide en gruppe brugere ud af et netværk fordi dit serversoftware ikke er godt nok opbygget.
Siger du at skolens printer system er baseret på goodwill? Altså dvs. klienten fortæller venligst serveren hvor meget den udskriver når den skriver ud, og serveren svarer ja hvis du må udskrive mere og ellers nej?
Hvis det er lavet sådan så ville er det godt nok ris til egen røv. Så kan Windows brugere jo forhelvede da gøre det samme, bare ved at bruge printerne på samme måde som windows brugerne.
Der findes printersystemer der tillader både Mac, Linux, Windows at printe på samme netværk med begrænsninger, så brug dog det istedetfor. Men du kan ikke smide en gruppe brugere ud af et netværk fordi dit serversoftware ikke er godt nok opbygget.
#52
Sorry mht. indlægget, mange dumme smuttere.
Aht. læsbarheden, en genskrivning:
Siger du at skolens printer system er baseret på goodwill? Altså dvs. klienten fortæller venligst serveren hvor meget den udskriver når den skriver ud, og serveren svarer ja hvis du må udskrive mere og ellers nej?
Hvis det er lavet sådan så er det godt nok ris til egen røv. Så kan Windows brugere jo forhelvede da gøre det samme, bare ved at bruge printerne på samme måde som Linux brugerne.
Der findes printersystemer der tillader både Mac, Linux, Windows at printe på samme netværk med begrænsninger, så brug dog det istedetfor. Men du kan ikke smide en gruppe brugere ud af et netværk fordi dit serversoftware ikke er godt nok opbygget.
Sorry mht. indlægget, mange dumme smuttere.
Aht. læsbarheden, en genskrivning:
Siger du at skolens printer system er baseret på goodwill? Altså dvs. klienten fortæller venligst serveren hvor meget den udskriver når den skriver ud, og serveren svarer ja hvis du må udskrive mere og ellers nej?
Hvis det er lavet sådan så er det godt nok ris til egen røv. Så kan Windows brugere jo forhelvede da gøre det samme, bare ved at bruge printerne på samme måde som Linux brugerne.
Der findes printersystemer der tillader både Mac, Linux, Windows at printe på samme netværk med begrænsninger, så brug dog det istedetfor. Men du kan ikke smide en gruppe brugere ud af et netværk fordi dit serversoftware ikke er godt nok opbygget.
offtopic -- men sikkert underholdende læsning
#51 -- Hvem er du, og hvorfra har du den slags oplysninger? Iflg. din profil på newz.dk er du ikke fyldt elleve, hvilket bidrager til at jeg ingen fornemmelse har af, hvem jeg taler med.
Imidlertid tager du CEU Koldings (allerede nævnte biord og tillægsord) IT-afdeling i forsvar. Jeg antager derfor, at du har noget med den at gøre. Et andet indicie, som danner grundlag for denne teori, er, at du har skrevet to posts i alt, på dette site.
Nej. Et trådløst og ukrypteret WLAN er i allerhøjeste grad mere usikkert end et kurant switched netværk. Vær velkommen til at foreslå det modsatte i dette forum; på samme facon som CEU Kolding har "foreslået" eleverne dette igennem Fronter. "Det med straffeloven". :)
I den sidste lange periode har der iøvrigt stået nul switches i HTX. Der har imidlertid ligget et enkelt RJ45-stik. Ej heller ville 8+4 porte være nok, og det er klart for enhver. Vi har klaget over den opstilling mange gange, og slutteligt blev den bare fjernet.
Angående printer-problematikken, tilslutter jeg mig SmackedFly. Det er mindretalsdiskrimination, hvis man ikke implementerer en portabel løsning.
Min umiddelbare tanke i denne forbindelse var, at man åbenbart ikke vidste, at der findes andre operativsystemer -- ellers ville det være en arrogant beslutning.
#53 -- Systemet hedder vistnok JAS, og baserer sig på en SMB-printer-løsning, som er tilknyttet et system, hvor elever betaler for udskrift. Skolen har indsat et beløb som elever har at bruge af -- og som man skønsmæssigt vurderer at er nok til hele uddannelsen. Hvis man så har -- hvad skolen vurderer at er -- et overforbrug, må man indkøbe mere udskrift-rettighed i skolens bistro.
Min mening er, at det er rimeligt at overvåge hvor meget hver elev udskriver -- men, denne form for kollektiv afstrafning (foruden straf -- de fleste vil aldrig bemærke systemets eksistens) er at tage det for langt. Eksempelvis ved vi alle, at langt de færreste ETB-programmer mener, at et stykke 24-bit grafik, som kun udnytter greyscale-spektret, faktisk er greyscale. Når så jobbet sendes til printeren, bonnes man for farvetoner, man ikke har brugt.
Jeg har ikke testet det endnu. Men det ville være meget pinligt, hvis JAS udelukkende kigger på antallet af sider på farveprinteren og antallet af sider på sort/hvid-printeren. Det ville jo betyde, at man som elev manuelt skal sortere sig igennem sine rapporter, for at udskrive siderne som skal udskrives som sort/hvid, til en fjerdedel af farvesiders pris. Eller hvad det nu er.
Imidlertid illustrerer 24bit-problematikken fra ovenfor, at man ikke kan skelne på den facon. En sort/hvid side i en farvelaser er omtrent lige så dyr som en sort/hvid i en sort/hvid printer.
#51 -- Hvem er du, og hvorfra har du den slags oplysninger? Iflg. din profil på newz.dk er du ikke fyldt elleve, hvilket bidrager til at jeg ingen fornemmelse har af, hvem jeg taler med.
Imidlertid tager du CEU Koldings (allerede nævnte biord og tillægsord) IT-afdeling i forsvar. Jeg antager derfor, at du har noget med den at gøre. Et andet indicie, som danner grundlag for denne teori, er, at du har skrevet to posts i alt, på dette site.
Nej. Et trådløst og ukrypteret WLAN er i allerhøjeste grad mere usikkert end et kurant switched netværk. Vær velkommen til at foreslå det modsatte i dette forum; på samme facon som CEU Kolding har "foreslået" eleverne dette igennem Fronter. "Det med straffeloven". :)
I den sidste lange periode har der iøvrigt stået nul switches i HTX. Der har imidlertid ligget et enkelt RJ45-stik. Ej heller ville 8+4 porte være nok, og det er klart for enhver. Vi har klaget over den opstilling mange gange, og slutteligt blev den bare fjernet.
Angående printer-problematikken, tilslutter jeg mig SmackedFly. Det er mindretalsdiskrimination, hvis man ikke implementerer en portabel løsning.
Min umiddelbare tanke i denne forbindelse var, at man åbenbart ikke vidste, at der findes andre operativsystemer -- ellers ville det være en arrogant beslutning.
#53 -- Systemet hedder vistnok JAS, og baserer sig på en SMB-printer-løsning, som er tilknyttet et system, hvor elever betaler for udskrift. Skolen har indsat et beløb som elever har at bruge af -- og som man skønsmæssigt vurderer at er nok til hele uddannelsen. Hvis man så har -- hvad skolen vurderer at er -- et overforbrug, må man indkøbe mere udskrift-rettighed i skolens bistro.
Min mening er, at det er rimeligt at overvåge hvor meget hver elev udskriver -- men, denne form for kollektiv afstrafning (foruden straf -- de fleste vil aldrig bemærke systemets eksistens) er at tage det for langt. Eksempelvis ved vi alle, at langt de færreste ETB-programmer mener, at et stykke 24-bit grafik, som kun udnytter greyscale-spektret, faktisk er greyscale. Når så jobbet sendes til printeren, bonnes man for farvetoner, man ikke har brugt.
Jeg har ikke testet det endnu. Men det ville være meget pinligt, hvis JAS udelukkende kigger på antallet af sider på farveprinteren og antallet af sider på sort/hvid-printeren. Det ville jo betyde, at man som elev manuelt skal sortere sig igennem sine rapporter, for at udskrive siderne som skal udskrives som sort/hvid, til en fjerdedel af farvesiders pris. Eller hvad det nu er.
Imidlertid illustrerer 24bit-problematikken fra ovenfor, at man ikke kan skelne på den facon. En sort/hvid side i en farvelaser er omtrent lige så dyr som en sort/hvid i en sort/hvid printer.
Jeg bruger selv openoffice til rapport-afleveringer og lign.
Til notater og diverse andre lette ting bruger jeg abiword da den er delig hurtig at arbejde med.
Til notater og diverse andre lette ting bruger jeg abiword da den er delig hurtig at arbejde med.
#skrewz:
Hvis jeg var admin, var alle porte lukket, og så kunne du få lov at komme ud igennem en proxyserver som kræver password for at accesse den.
Ser ingen grund til at give adgang til mere, alligevel.
Så kunne der måske allernådigst ved ansøgninger gennemen VPN klient gives midlertidige tilladelser hvor alt er åbent i en begrænset periode.
Kald mig bare paranoid, men så har jeg styr på hvad brugerne på netværket ud af til foretager sig.
Tror bare du er forvent, men generelt til informationssøgning har du ikke brug for mere end http og https trafik.
Hvis jeg var admin, var alle porte lukket, og så kunne du få lov at komme ud igennem en proxyserver som kræver password for at accesse den.
Ser ingen grund til at give adgang til mere, alligevel.
Så kunne der måske allernådigst ved ansøgninger gennemen VPN klient gives midlertidige tilladelser hvor alt er åbent i en begrænset periode.
Kald mig bare paranoid, men så har jeg styr på hvad brugerne på netværket ud af til foretager sig.
Tror bare du er forvent, men generelt til informationssøgning har du ikke brug for mere end http og https trafik.
til alle "nye" superbrugere - lær at leve med at når man bliver "ansvarshavende" superbruger begynder man at tænke over en del flere ting. f.eks lovgivning, ansvar, løn, institutionens IT-politiske beslutninger, KISS og meget mere.
Ved godt det er træls at møde begrænsninger, men det er nok reelt en af de hurdler, man skal lære at forcere som voksen. Og når man bliver voksen lærer man det er lettere at gå uden om istedet for at løbe igennem dem eller hoppe over dem.
citat - I don't have time for this shit (trinity i Matrix 3 ved sit besøg hos merovingeren)
Ved godt det er træls at møde begrænsninger, men det er nok reelt en af de hurdler, man skal lære at forcere som voksen. Og når man bliver voksen lærer man det er lettere at gå uden om istedet for at løbe igennem dem eller hoppe over dem.
citat - I don't have time for this shit (trinity i Matrix 3 ved sit besøg hos merovingeren)
#58
Det var dog en arrogant holdning til tingene hvis jeg skal være ærlig, hvorfor bringe det at blive voksen ind i det, det har intet med det at gøre. Det er klart at du skal sikre institutionens politik, men jeg mener også man har et ansvar for at sikre at folk kan bruge de værktøjer de har brug for, for ellers er det folk begynder at ssh pipe igennem port 80 eller lignende. Igen, hvis folk vil trække et netværk kan de sagtens gøre det, giv mig 5 minutter på et lan og jeg kan rive det i småstykker, men det er ikke pointen, det kan du ikke gardere dig imod som administrator.
Det du derimod kan gøre er at sikre dig nogenlunde imod udefrakommende trafik, og så ellers er resten mere et spørgsmål om social engineering, end noget andet.
Det var dog en arrogant holdning til tingene hvis jeg skal være ærlig, hvorfor bringe det at blive voksen ind i det, det har intet med det at gøre. Det er klart at du skal sikre institutionens politik, men jeg mener også man har et ansvar for at sikre at folk kan bruge de værktøjer de har brug for, for ellers er det folk begynder at ssh pipe igennem port 80 eller lignende. Igen, hvis folk vil trække et netværk kan de sagtens gøre det, giv mig 5 minutter på et lan og jeg kan rive det i småstykker, men det er ikke pointen, det kan du ikke gardere dig imod som administrator.
Det du derimod kan gøre er at sikre dig nogenlunde imod udefrakommende trafik, og så ellers er resten mere et spørgsmål om social engineering, end noget andet.
#57: Nej det er jeg ikke
Men ovenstående løsning er omtrent den måde de kører nettet på AAU. Bortset der så er mulighed for at logge ind på en unix server og derigennem pipe tunnels med ssh tunnels.
Fungerer iøvrigt udmærket. Selvom man er lidt begrænset i sin brug.
#58:
Ja du kan rive et lan i stykker, derfor laver man mindre vlans samt mindre subnets. Så burde det være til at løse. Hvis så virkelig ønsker at ødelægge det hele, okay så 230V power på should do the trick :)
Men du kommer ikke bare lige til at hente med kazaa, mule eller de andre clienter når alt trafikken skal foregå igennem en http_proxy.
Det bliver de mest hardcore nørder som kommer igennem, men flertallet vil have svært.Hvilket i mine øjne vil være okay.
Poliet vil heller ikke kunne stoppe/opklare alt kriminalitet, men de forsøger alligevel(nogle gange bare ikke nok )
Men ovenstående løsning er omtrent den måde de kører nettet på AAU. Bortset der så er mulighed for at logge ind på en unix server og derigennem pipe tunnels med ssh tunnels.
Fungerer iøvrigt udmærket. Selvom man er lidt begrænset i sin brug.
#58:
Ja du kan rive et lan i stykker, derfor laver man mindre vlans samt mindre subnets. Så burde det være til at løse. Hvis så virkelig ønsker at ødelægge det hele, okay så 230V power på should do the trick :)
Men du kommer ikke bare lige til at hente med kazaa, mule eller de andre clienter når alt trafikken skal foregå igennem en http_proxy.
Det bliver de mest hardcore nørder som kommer igennem, men flertallet vil have svært.Hvilket i mine øjne vil være okay.
Poliet vil heller ikke kunne stoppe/opklare alt kriminalitet, men de forsøger alligevel(nogle gange bare ikke nok )
#59 hvor viser du det min pointe klart og tydeligt
#60 uni og andre højere læreranstalter har mange flere ressourcer end gym, htx osv (manpower og udstyr)
#61 jeg kan egentlig ikke læse om du er pro kaazaa eller mod det ud fra din mail
Angående kaazaa mule osv. De skal bare ikke have adgang på et uvnet - det er undøvendig trafik, som eleverne kan bruge deres egne ADSL forbindelser til - og hvis man er på UNI-C's netværk tvivler jeg på at det er lovligt at bruge ovennævnte services, da det kun er til uv brug.
Igen, hvis folk vil trække et netværk kan de sagtens gøre det, giv mig 5 minutter på et lan og jeg kan rive det i småstykker, men det er ikke pointen, det kan du ikke gardere dig imod som administrator.
#60 uni og andre højere læreranstalter har mange flere ressourcer end gym, htx osv (manpower og udstyr)
#61 jeg kan egentlig ikke læse om du er pro kaazaa eller mod det ud fra din mail
Angående kaazaa mule osv. De skal bare ikke have adgang på et uvnet - det er undøvendig trafik, som eleverne kan bruge deres egne ADSL forbindelser til - og hvis man er på UNI-C's netværk tvivler jeg på at det er lovligt at bruge ovennævnte services, da det kun er til uv brug.
#56 -- Hvorfor skal dit paranoia skade eleverne?
Så vidt jeg kan se, afhænger et hvilketsomhelst netværk stadig af, hvor flinke individerne som har fysisk tilgang til netværket er ved det. Hvis det er udgangspunktet, kan man altid smadre et netværk hvis man vil.
Når det så er sagt, så finder jeg det acceptabelt at begrænse tung trafik (a.k.a. p2p) på netværket, men at lukke port 22 er da ikke andet end en provokation? Som #59 påpeger, kan man altid anvende servicen uden for den kurante port -- men det er upraktisk, da man så udelukker sig fra at bruge den anvendte ports typiske formål i den anden ende. Og ærligt taget vil jeg ikke slagte min httpd for at have en sshd eller en ftpd. :(
Iøvrigt har du misforstået anvendelsen af Internettet: Det kan faktisk bruges på andre porte end 80 og 443. Også på en skole.
#62 -- Der skal ikke meget manpower eller særlig sofistikeret udstyr til, for at lave et fornuftigt netværk. Blot almindelig kompetence. Er vi uenige?
Så vidt jeg kan se, afhænger et hvilketsomhelst netværk stadig af, hvor flinke individerne som har fysisk tilgang til netværket er ved det. Hvis det er udgangspunktet, kan man altid smadre et netværk hvis man vil.
Når det så er sagt, så finder jeg det acceptabelt at begrænse tung trafik (a.k.a. p2p) på netværket, men at lukke port 22 er da ikke andet end en provokation? Som #59 påpeger, kan man altid anvende servicen uden for den kurante port -- men det er upraktisk, da man så udelukker sig fra at bruge den anvendte ports typiske formål i den anden ende. Og ærligt taget vil jeg ikke slagte min httpd for at have en sshd eller en ftpd. :(
Iøvrigt har du misforstået anvendelsen af Internettet: Det kan faktisk bruges på andre porte end 80 og 443. Også på en skole.
#62 -- Der skal ikke meget manpower eller særlig sofistikeret udstyr til, for at lave et fornuftigt netværk. Blot almindelig kompetence. Er vi uenige?
#56
Fordi man som sysadmin er forpligtet til at overholde loven. Hvis man har "åbnet" sit system kan man i værste fald blive dømt som overtræder på elevernes vegne og i bedste fald "bare" få en massse bøvl ud af det.
Jeg ville bortvise en elev far netværket hvis jeg vidste at han brugte programmer der ikke var godkendt af skolen til godkendelse - heriblandt p2p og ftp. Det er smart, men unødvendigt for skolebrug. Man kan brænde en cdrom eller købe sig en USB-pen.
Hvis jeg var enig i det udsagn ville jeg nok have skrevet det jeg skrev. Jeg kan kun sige sige at enten bliver du klogere eller også bliver du aldrig IT-admin/medarb i en seriøs virksomhed (meget sat på spidsen, men nok desværre virkeligheden)
PS - svarer ikke mere på denne tråd, da jeg mener min holdning er kommet tydelig nok frem - men vil da læse den for svar
Hvorfor skal dit paranoia skade eleverne?
Fordi man som sysadmin er forpligtet til at overholde loven. Hvis man har "åbnet" sit system kan man i værste fald blive dømt som overtræder på elevernes vegne og i bedste fald "bare" få en massse bøvl ud af det.
Jeg ville bortvise en elev far netværket hvis jeg vidste at han brugte programmer der ikke var godkendt af skolen til godkendelse - heriblandt p2p og ftp. Det er smart, men unødvendigt for skolebrug. Man kan brænde en cdrom eller købe sig en USB-pen.
Der skal ikke meget manpower eller særlig sofistikeret udstyr til, for at lave et fornuftigt netværk. Blot almindelig kompetence. Er vi uenige?
Hvis jeg var enig i det udsagn ville jeg nok have skrevet det jeg skrev. Jeg kan kun sige sige at enten bliver du klogere eller også bliver du aldrig IT-admin/medarb i en seriøs virksomhed (meget sat på spidsen, men nok desværre virkeligheden)
PS - svarer ikke mere på denne tråd, da jeg mener min holdning er kommet tydelig nok frem - men vil da læse den for svar
#64 elevens maskine er elevens egendom og som sysadmin har du ingen og jeg gentager ingen ret til at vide hvilke programmer eleven har på sin maskine.
Du er mugligvis forpligtet til at melde det og evt stoppe det hvis eleven bruger dit netværk til at sprede ulovligt matriale, men du hverken må eller skal overvåge hver eneste forbindelse eleven opretter.
Husk på at vi ikke taler lukkede virksomhedsnet hvor du som admin "ejer" alle noderne men om et semi offentligt netværk, hvor en del noder er "fremmede" og ikke dit fulde ansvar.
Det betyder at det skal værre rimeligt synligt før at du kan drages til ansvær for noget som helts, og det er ligeså nemt at lave de virkeligt strafbare ting gennem en http-proxy som uden.
Du kan risikere at få bøvl med APG's advokater og evt andre private tæskehold men du hefter ikke for alt hvad der findes af piratkopier på dit netværk.
Iøvrigt er lokal deling over feks. windows fildeling nok et større problem for dig rent juridisk end emule m.f.
Du har ret til at bestemme hvilken aktivitet der er en del af netværkets formål og forbyde anden brug af netværket, men det er altså unødigt parenoia og fupsikkerhed hvis du mere eller mindre tilfældigt bare blokere for alt andet end trafik på port 80 specielt hvis du f.eks. tilader trafik på de upiviligerede porte.
Du er mugligvis forpligtet til at melde det og evt stoppe det hvis eleven bruger dit netværk til at sprede ulovligt matriale, men du hverken må eller skal overvåge hver eneste forbindelse eleven opretter.
Husk på at vi ikke taler lukkede virksomhedsnet hvor du som admin "ejer" alle noderne men om et semi offentligt netværk, hvor en del noder er "fremmede" og ikke dit fulde ansvar.
Det betyder at det skal værre rimeligt synligt før at du kan drages til ansvær for noget som helts, og det er ligeså nemt at lave de virkeligt strafbare ting gennem en http-proxy som uden.
Du kan risikere at få bøvl med APG's advokater og evt andre private tæskehold men du hefter ikke for alt hvad der findes af piratkopier på dit netværk.
Iøvrigt er lokal deling over feks. windows fildeling nok et større problem for dig rent juridisk end emule m.f.
Du har ret til at bestemme hvilken aktivitet der er en del af netværkets formål og forbyde anden brug af netværket, men det er altså unødigt parenoia og fupsikkerhed hvis du mere eller mindre tilfældigt bare blokere for alt andet end trafik på port 80 specielt hvis du f.eks. tilader trafik på de upiviligerede porte.
#64 -- Hvordan kan man "godkende" et program til skolebrug? Er Iexplore en http-browser, mens man gerne må udelukke eksempelvis Konqueror eller Safari?
"[...]ftp er smart, men unødvendigt til skolebrug". Det var den tåbeligste påstand, at en protokol til udveksling af filer er "unødvendig til skolebrug". Kan du ikke selv se det, oh, voksne sysadmin?
Fortæl mig hvad mange medarbejdere (manpower) kan anvendes til, når det kommer til sikring af et netværk. Jeg er egentlig meget intereseret, da en sådan påstået realistisk tilgangsvinkel til IT-sikkerhed kommer mig ved... Indtil videre er det volapyk.
Så konkretisér.
Anskuer du i det hele taget en sysadmins rolle som "at sørge for at netværket er problemfrit" eller "at sørge for at netværket er godt"?
"[...]ftp er smart, men unødvendigt til skolebrug". Det var den tåbeligste påstand, at en protokol til udveksling af filer er "unødvendig til skolebrug". Kan du ikke selv se det, oh, voksne sysadmin?
Fortæl mig hvad mange medarbejdere (manpower) kan anvendes til, når det kommer til sikring af et netværk. Jeg er egentlig meget intereseret, da en sådan påstået realistisk tilgangsvinkel til IT-sikkerhed kommer mig ved... Indtil videre er det volapyk.
Så konkretisér.
Anskuer du i det hele taget en sysadmins rolle som "at sørge for at netværket er problemfrit" eller "at sørge for at netværket er godt"?
#65 og 66
følgende er taget fra Sektornets side om betingelser og vilkår
http://www.uni-c.dk/produkter/sektornet/omsektorne...
Så kan i jo selv lave et regelsæt internt regeltæst der overholder alle disse ting. Bare overvej hvad hvad lovgivning betyder.
For folkeskolens ITsystemer kan jeg kun sige at det er de færreste skoer der overhovedet har en uddannet IT-admin. De fleste er forkølede lærere der har lært lidt.
Godkendt software er det software som kolen godkender. Og det vil sikkert betyde at mange skoler lukker fuldstændig af for brug af andet end windowsprogrammer.
Og jeg mener stadig at FTP er undværlig protokol. man kan bruge googlemail, USB-pen eller CD-ROM. At disse så allesammen giver andre sikkerhedsaspekter man skal overveje (virus/bots osv) er så en anden diskussion. Prøv bare at tænke over om den lokale institution har fjernet adgangen for boot via USB og CDROM/Floppy.
Min point er ikke hvordan eller hvorfor, mere at du (SKREWZ) bliver nød til at lære at spille efter de regler som samfundet (i det her tilfælde institutionen) har opstillet - ligegyldigt hvormeget du har ret. for selvfølgelig er det da altsammen smart. Hver eneste gang man tilføjer en ekstra feature/sikkerhedsrisiko bliver kompleksiviteten forøget kraftigt (n * n-1)/2
#64 Du har ret i at den enekelte maskine er den enkelte elevs ejendom, og at en inspektion af denne er at regne for at gå ind på personens private ejendom. Derfor bør man også som institution sørge for at man som ledelse og administrator på institutionen har tilladelse til at tilgå elevens private mapper og den maskine han tilslutter. Og der er undervisningsinstituioner der har betalt bøde for at eleverne har brugt deres netværk til at hente ting med.
Skræmme historien er den fra nordjylland hvor der var en skole der pludselig blev kontaktet af et amerikansk regeringskontor angående deres angreb på deres severe. De kunne selvfølgelig se at det ikke kunne være en fra skolen. Deres udstyr viste at skolens server blev brugt som en node i et hackernetværk - uden at skolen overhovedet havde en anelse om det.
En Mand i england bliver hentet af politiet fordi hans maskine indeholder børneporno. Retsagen viser at det er ikke ham der har lagt det ind, men et hackernetværk der har brugt hans maskine som lagerplads - uden hans vidende.
Min fornuft siger mig - jo mindre kompleksitet jo større overblik. og jeg vil hellere bruge mine kræfter på den pædagoiske del af arbejdet, end at være smart og åben
følgende er taget fra Sektornets side om betingelser og vilkår
http://www.uni-c.dk/produkter/sektornet/omsektorne...
Så kan i jo selv lave et regelsæt internt regeltæst der overholder alle disse ting. Bare overvej hvad hvad lovgivning betyder.
Anvendelse
Sektornet må kun anvendes til uddannelsesformål eller formål, som direkte har med uddannelse at gøre.
Anvendelsen af Sektornet skal ske inden for de rammer, som sættes af almindelige love og regler.
Anvendelsen af Sektornet skal overholde almindelig takt og tone på åbne net (Acceptable Use Policy - AUP).
Følgende opfattes som misbrug af Sektornet:
at forsøge uautoriseret adgang til ressourcer (systemer) på netværk i ind- og udland
at forsøge at bryde igennem Sektornets sikkerhedssystemer
at skjule sin identitet, bortset fra de tilfælde, hvor det eksplicit er tilladt
at bruge nettet til formidling/publicering af informationer/data/billeder m.v., som det i følge dansk lov er forbudt at distribuere eller formidle
at forstyrre netværkets normale funktioner
bevidst at spilde ressourcer (personer, edb-anlæg og transmissionskapacitet)
at ødelægge/forvanske indhold af edb-baseret information/databaser, herunder bevidst spredning af virus
at undersøge eller afsløre andre brugeres private forhold (fx indhold af elektronisk post)
at genere andre netværksbrugere med upassende meddelelser (fx fremsendt som elektronisk junk-mail, hate-mail m.v.)
videresalg af netforbindelsen eller netydelser uden særlig aftale med Sektornet
Ovenstående liste er eksempler på misbrug, men den er ikke komplet.
Sektornet må ikke anvendes til kommercielle formål. Anvendelse af nettet i forbindelse med indtægtsdækket virksomhed anses ikke for kommerciel.
Det er institutionens ansvar at sikre, at institutionens brugere er bekendt med disse begrænsninger, og at de overholdes. Overtrædelse af begrænsningerne i anvendelsen kan medføre, at brugernes eller institutionens adgang til Sektornet bringes til ophør.
For folkeskolens ITsystemer kan jeg kun sige at det er de færreste skoer der overhovedet har en uddannet IT-admin. De fleste er forkølede lærere der har lært lidt.
Godkendt software er det software som kolen godkender. Og det vil sikkert betyde at mange skoler lukker fuldstændig af for brug af andet end windowsprogrammer.
Og jeg mener stadig at FTP er undværlig protokol. man kan bruge googlemail, USB-pen eller CD-ROM. At disse så allesammen giver andre sikkerhedsaspekter man skal overveje (virus/bots osv) er så en anden diskussion. Prøv bare at tænke over om den lokale institution har fjernet adgangen for boot via USB og CDROM/Floppy.
Min point er ikke hvordan eller hvorfor, mere at du (SKREWZ) bliver nød til at lære at spille efter de regler som samfundet (i det her tilfælde institutionen) har opstillet - ligegyldigt hvormeget du har ret. for selvfølgelig er det da altsammen smart. Hver eneste gang man tilføjer en ekstra feature/sikkerhedsrisiko bliver kompleksiviteten forøget kraftigt (n * n-1)/2
#64 Du har ret i at den enekelte maskine er den enkelte elevs ejendom, og at en inspektion af denne er at regne for at gå ind på personens private ejendom. Derfor bør man også som institution sørge for at man som ledelse og administrator på institutionen har tilladelse til at tilgå elevens private mapper og den maskine han tilslutter. Og der er undervisningsinstituioner der har betalt bøde for at eleverne har brugt deres netværk til at hente ting med.
Skræmme historien er den fra nordjylland hvor der var en skole der pludselig blev kontaktet af et amerikansk regeringskontor angående deres angreb på deres severe. De kunne selvfølgelig se at det ikke kunne være en fra skolen. Deres udstyr viste at skolens server blev brugt som en node i et hackernetværk - uden at skolen overhovedet havde en anelse om det.
En Mand i england bliver hentet af politiet fordi hans maskine indeholder børneporno. Retsagen viser at det er ikke ham der har lagt det ind, men et hackernetværk der har brugt hans maskine som lagerplads - uden hans vidende.
Min fornuft siger mig - jo mindre kompleksitet jo større overblik. og jeg vil hellere bruge mine kræfter på den pædagoiske del af arbejdet, end at være smart og åben
#67 når man ser bort fra klausulen om at det kun må bruges til ukoersielle udervisnings formål ligner det ret meget den aftale jeg har med TDC der netop hverken forbyder FTP eller SSH.
Kort sagt står der du må ikke bruge vores produkt til ulovlige formål.
Alle de eksempler du nevner har intet med de nænvte restriktioner, for at blive hacket skal maskinen modtage data et eller andet sted på internettet altså via åbne indadgående forbindelse, ikke udadgående forbindelser.
Du redder absolut intet ved at forbyde udadgående SSH eller FTP, det eneste du opnår er at tvinge folk over på mere usikre http baserede tjænester.
SSH er stærkt krypteret hvilket der er en del http-baserede webmail og masselagrings tjænester.
pop3/imap er et andet eksempel på tjænester der heller ikke bør lukkes for af de samme grunde, der er ingen grund til at tvinge folk til at basere sig alene på deres browsere.
Kort sagt har du usiiker software på dine egne maskiner gør det ingen forskel om du blokere for brug af ssh og ftp du er stadig i farezonen.
Skolens PC'er er selvfølgeligt dit ansvar og de bør kun have de programmer og indstillinger du giver dem men du har et problem med elevernes egne bærbare.
For det første har du ikke kontrol over hvor opdaterede de er, du kan f.eks. sagtens opleve en helt del upatchede winXP maskiner, der er virkelige sårbare også selvom de kun bruges til browsing gennem en http-proxy.
Du har heller ikke kontrol med hvordan de er instillet og om de overhovedet kører antivirus.
Du har altså at gøre med en ekstrem grad af kompleksitet, og det er ikke de nørder der vil til at bruge ssh eller ftp men alle de poptøser/drenge med deres fejlkonfigurere uopdaterede winXP-labtops.
Talte vi om lukkede netværk hvor eleverne ikke havde lov til at slutte deres Bærbare til er det en anden sag, men når man forlader den ide og lukke tilfældige og ukontrolede bærbare på dit net, er man nødt til at skifte politik.
Kort sagt står der du må ikke bruge vores produkt til ulovlige formål.
Alle de eksempler du nevner har intet med de nænvte restriktioner, for at blive hacket skal maskinen modtage data et eller andet sted på internettet altså via åbne indadgående forbindelse, ikke udadgående forbindelser.
Du redder absolut intet ved at forbyde udadgående SSH eller FTP, det eneste du opnår er at tvinge folk over på mere usikre http baserede tjænester.
SSH er stærkt krypteret hvilket der er en del http-baserede webmail og masselagrings tjænester.
pop3/imap er et andet eksempel på tjænester der heller ikke bør lukkes for af de samme grunde, der er ingen grund til at tvinge folk til at basere sig alene på deres browsere.
Kort sagt har du usiiker software på dine egne maskiner gør det ingen forskel om du blokere for brug af ssh og ftp du er stadig i farezonen.
Skolens PC'er er selvfølgeligt dit ansvar og de bør kun have de programmer og indstillinger du giver dem men du har et problem med elevernes egne bærbare.
For det første har du ikke kontrol over hvor opdaterede de er, du kan f.eks. sagtens opleve en helt del upatchede winXP maskiner, der er virkelige sårbare også selvom de kun bruges til browsing gennem en http-proxy.
Du har heller ikke kontrol med hvordan de er instillet og om de overhovedet kører antivirus.
Du har altså at gøre med en ekstrem grad af kompleksitet, og det er ikke de nørder der vil til at bruge ssh eller ftp men alle de poptøser/drenge med deres fejlkonfigurere uopdaterede winXP-labtops.
Talte vi om lukkede netværk hvor eleverne ikke havde lov til at slutte deres Bærbare til er det en anden sag, men når man forlader den ide og lukke tilfældige og ukontrolede bærbare på dit net, er man nødt til at skifte politik.
Hvilken port kører MSN på? Hvilken port kører ICQ på? Hvilken port kører XMPP på? Hvorfor er den første af disse åben, mens de andre er lukkede?
Hvorfor anlægger man et ikke-sikret WLAN?
Hvorfor køber man Fronter, når funktionaliteten kunne leveres af et internt udviklet system?
Hvorfor etablerer man et Windows-only print-system, når en CUPS-løsning havde gjort det bedre og billigere?
Hvorfor laver man en elev-printmonitoring-service, når man ikke intentionerer at vedligeholde den, så den kan bruges?
Hvorfor er der ikke autentisering på denne service?
Hvorfor ligger alle elevers fødselsdage og lignende oplysninger tilgængelige på skolens netværk?
Jeg kunne blive ved. Det er voldsomt.
Lad der ikke herske tvivl om, at denne IT-afdeling er inkompetent, så det batter. For de fleste newz.dk-brugere ville det at tage den i forsvar, være at sænke sit saglige niveau.
#67 -- Hvis dine interesser som sysadmin vægter tungere i dine tanker end behovene og kravene som dine brugere har -- så skal du kraftedeme holde dig væk fra at påtage dig ansvaret for deres effektivitet.
Påstanden om, at ftp er undværlig er absurd. Desideret absurd, og jeg fatter ikke, at du kan få dig selv til at påstå det modsatte.
Secure FTP er mindre moden, men mindst lige så vigtig fra et teknisk perspektiv. Hvordan skal man -- som nogenlunde fornuftig bruger -- kunne håndtere sin sikkerhed, når man ikke engang kan få lov til at foretage sikker trafik mod sine egne hosts?
Så såfremt en IT-afdeling som CEU Koldings, søger at sikre sig selv i sin uduelighed til gode løsninger, er det fint med mig (!). Så længe det ikke går ud over folk, som bekymrer sig om sikkerhed... Mine sikkerhedskrav er over de i #68 omtalte poptøser og -drenge (selv om disse ofte erkender, at situationen er for skidt, når de oplyses om den), hvorfor jeg indvilger i at varetage store dele af min sikkerhed, selv.
Det har CEU Koldings IT-afdeling åbenbart set sig sur på, og lukket alle muligheder jeg ser for en fornuftig løsning.
(Nej, jeg lyster ikke at hoste ssh på port 80).
Ud over det, så tilslutter jeg mig #68: Du taler voldsomt meget uden om. Din matematiske formel har eksempelvis ingen relevans, der der allerede er nævnt, at de omtalte porte er gået fra "åbne" til "lukkede", hvilket er at indføre mere kompleksitivitet.
Puha. Sidste skoledag på tirsdag... Så kan jeg få skiftet passwords. :)
Hvorfor anlægger man et ikke-sikret WLAN?
Hvorfor køber man Fronter, når funktionaliteten kunne leveres af et internt udviklet system?
Hvorfor etablerer man et Windows-only print-system, når en CUPS-løsning havde gjort det bedre og billigere?
Hvorfor laver man en elev-printmonitoring-service, når man ikke intentionerer at vedligeholde den, så den kan bruges?
Hvorfor er der ikke autentisering på denne service?
Hvorfor ligger alle elevers fødselsdage og lignende oplysninger tilgængelige på skolens netværk?
Jeg kunne blive ved. Det er voldsomt.
Lad der ikke herske tvivl om, at denne IT-afdeling er inkompetent, så det batter. For de fleste newz.dk-brugere ville det at tage den i forsvar, være at sænke sit saglige niveau.
#67 -- Hvis dine interesser som sysadmin vægter tungere i dine tanker end behovene og kravene som dine brugere har -- så skal du kraftedeme holde dig væk fra at påtage dig ansvaret for deres effektivitet.
Påstanden om, at ftp er undværlig er absurd. Desideret absurd, og jeg fatter ikke, at du kan få dig selv til at påstå det modsatte.
Secure FTP er mindre moden, men mindst lige så vigtig fra et teknisk perspektiv. Hvordan skal man -- som nogenlunde fornuftig bruger -- kunne håndtere sin sikkerhed, når man ikke engang kan få lov til at foretage sikker trafik mod sine egne hosts?
Så såfremt en IT-afdeling som CEU Koldings, søger at sikre sig selv i sin uduelighed til gode løsninger, er det fint med mig (!). Så længe det ikke går ud over folk, som bekymrer sig om sikkerhed... Mine sikkerhedskrav er over de i #68 omtalte poptøser og -drenge (selv om disse ofte erkender, at situationen er for skidt, når de oplyses om den), hvorfor jeg indvilger i at varetage store dele af min sikkerhed, selv.
Det har CEU Koldings IT-afdeling åbenbart set sig sur på, og lukket alle muligheder jeg ser for en fornuftig løsning.
(Nej, jeg lyster ikke at hoste ssh på port 80).
Ud over det, så tilslutter jeg mig #68: Du taler voldsomt meget uden om. Din matematiske formel har eksempelvis ingen relevans, der der allerede er nævnt, at de omtalte porte er gået fra "åbne" til "lukkede", hvilket er at indføre mere kompleksitivitet.
Puha. Sidste skoledag på tirsdag... Så kan jeg få skiftet passwords. :)
#69 er det kun de priviligerede porte <1024 han har blokeret for eller er det alt ud over port 80?
Gider du så iøvrigt lige at dempe din foragt for ikke linux baserede løsninger, ja cups og hjemmeudviklede systemer kunne måske gøre arbejdet men det er langt fra problemfrit, og det kræver resourcer af en anden art end de indkøbte systemer.
Det er oftest en helt del anderledes når man selv sidder med lortet, så er man glad for at enten MS fronter eller novell kan levere noget færdigt pakket.
#70 Du kan ikke bruge den formel som et magisk værktøj til at sikre dit netværk, du er stadig nødt til at vide lidt om tingene.
Jeg har ivertfald svært ved at se hvordan den formel kan bruges til at retfærdigøre lukning af udadgående forbindelser på de priviligerede porte.
Hvis jeg husker rigtigt beskriver den antallet af forskellige forbindelse med n noder kan lave, hvilket ikke siger så meget om hvad der sker når man lukker og åbner porte.
Jeg vil fastholde min påstand om at det er pseudo sikkerhed der ikke forhindre noget som helst grumt i at ske.
Gider du så iøvrigt lige at dempe din foragt for ikke linux baserede løsninger, ja cups og hjemmeudviklede systemer kunne måske gøre arbejdet men det er langt fra problemfrit, og det kræver resourcer af en anden art end de indkøbte systemer.
Det er oftest en helt del anderledes når man selv sidder med lortet, så er man glad for at enten MS fronter eller novell kan levere noget færdigt pakket.
#70 Du kan ikke bruge den formel som et magisk værktøj til at sikre dit netværk, du er stadig nødt til at vide lidt om tingene.
Jeg har ivertfald svært ved at se hvordan den formel kan bruges til at retfærdigøre lukning af udadgående forbindelser på de priviligerede porte.
Hvis jeg husker rigtigt beskriver den antallet af forskellige forbindelse med n noder kan lave, hvilket ikke siger så meget om hvad der sker når man lukker og åbner porte.
Jeg vil fastholde min påstand om at det er pseudo sikkerhed der ikke forhindre noget som helst grumt i at ske.
#71
Hvorhenne beklager jeg mig over, at man bruger "ikke-linux-baserede løsninger"? AFAIK, så er den printløsning man faktisk har implementeret baseret på den kernel, du nævner. Men selv iexplore-only sider hostes på apache -- og samme er tilfældet, her. Stadig AFAIK.
Desuden pointerer jeg, at den løsning som CUPS havde tilbudt, havde været implementeret meget hurtigere og smertefriere den valgte Windows-only-løsning. Hvordan det skulle koste mere på nogen måde, kan jeg ikke se. (Jow, det skulle da kun lige være, hvis man skulle omskole IT-personellet).
Desuden ved jeg ikke, hvordan det ser ud med porte over 1024, andet end at at XMPP, som ligger på 5222, er blokeret indefra og ud.
Btw, Microsoft har ikke "æren" ved systemet Fronter. AFAIK, så hedder firmaet selv "Fronter", og er lavet af nogle svenskere. En af mine kammerater havde udviklet et lignende system i forbindelse med et fag han skulle tage, og han tilbød at overdrage det til skolen, evt. med videreudvikling fra hans side.
#70 -- Jamen, det er da meget godt. Og?
Hvorhenne beklager jeg mig over, at man bruger "ikke-linux-baserede løsninger"? AFAIK, så er den printløsning man faktisk har implementeret baseret på den kernel, du nævner. Men selv iexplore-only sider hostes på apache -- og samme er tilfældet, her. Stadig AFAIK.
Desuden pointerer jeg, at den løsning som CUPS havde tilbudt, havde været implementeret meget hurtigere og smertefriere den valgte Windows-only-løsning. Hvordan det skulle koste mere på nogen måde, kan jeg ikke se. (Jow, det skulle da kun lige være, hvis man skulle omskole IT-personellet).
Desuden ved jeg ikke, hvordan det ser ud med porte over 1024, andet end at at XMPP, som ligger på 5222, er blokeret indefra og ud.
Btw, Microsoft har ikke "æren" ved systemet Fronter. AFAIK, så hedder firmaet selv "Fronter", og er lavet af nogle svenskere. En af mine kammerater havde udviklet et lignende system i forbindelse med et fag han skulle tage, og han tilbød at overdrage det til skolen, evt. med videreudvikling fra hans side.
#70 -- Jamen, det er da meget godt. Og?
#72 Prisen bliver sat af det firma der levere og hvis det firma der er billigst, eller som firmaet finder mest tilfredstillende kun findes til windows så er det sådan!
Jeg regnede med at fronter var en eller anden klamphugger overbygning på windows, der er sku ingen der kører rent MS da det slet ikke har den slags features.
MS's egne systemer er som regel også bedre understøttet af fremmede "klienter" end de uafhængige er.
Hvorfor folk vælger det ene frem for det andet, tjaa de tror vel at det enten er billigere eller nemmmere at håndtere, det er ekstremt svært at vurdere den slags.
Er MSN også blokeret, eller kører den på port 80 og er problemet ikke snarere at der kører en tvungen proxy, end at manden lukker trafik?
Hvis det er en proxy der er problemet kan du bare instalere det nødvendige software på din linux boks. og så bruge tingene som du plejer.
Jeg mener godt man kan få en ssh forbindelse igennem en proxy, og min jabberklient PSI(krydsplatform) har også en option for at gå igennem en alm proxy.
Er det en proxy er det måske lidt mere forståeligt, udfra et sikkerhedsmæssigt synspunkt selvom det normalt ikke er derfor man gør den slags.
Jeg regnede med at fronter var en eller anden klamphugger overbygning på windows, der er sku ingen der kører rent MS da det slet ikke har den slags features.
MS's egne systemer er som regel også bedre understøttet af fremmede "klienter" end de uafhængige er.
Hvorfor folk vælger det ene frem for det andet, tjaa de tror vel at det enten er billigere eller nemmmere at håndtere, det er ekstremt svært at vurdere den slags.
Er MSN også blokeret, eller kører den på port 80 og er problemet ikke snarere at der kører en tvungen proxy, end at manden lukker trafik?
Hvis det er en proxy der er problemet kan du bare instalere det nødvendige software på din linux boks. og så bruge tingene som du plejer.
Jeg mener godt man kan få en ssh forbindelse igennem en proxy, og min jabberklient PSI(krydsplatform) har også en option for at gå igennem en alm proxy.
Er det en proxy er det måske lidt mere forståeligt, udfra et sikkerhedsmæssigt synspunkt selvom det normalt ikke er derfor man gør den slags.
#73 -- Netværket er ikke så transperent, da der arbejdes med en router i klassisk forstand (snarere end en proxy). Imidlertid kan man overvåge trafikken, som kommer ydersiden af nettet, se (eller vide) at afsendersiden sender med sin maskimalhastighed, og se på sin klient inde i netværket, at man modtager med 1B/minut eller lignende. Altså er der noget caching.
D'herrer Windows-brugere, som er på skolen, forbinder igennem MSNs Messenger. Jeg mener -- fra den gang da jeg sidst rørte den applikation -- at den kører igennem en port, hvis nummer er i den øverste del af 5000-feltet. Ret mig, hvis jeg tager fejl, selvfølgelig.
Imidlertid kan disse klienter forbinde til deres master- og switchboard-server. Jeg ved ikke, om de ``hacker port 80'' fra Microsofts side, for netop at komme over denne slags IT-ansvarlige, men... Connecte, det kan de gode Windows-brugere da.
Psi (ikke en forkortelse, i øvrigt), som også er min foretrukne Jabber-klient, kan imidlertid ikke connecte. Pakkerne går tabt (``DROP'' for at sige det på iptables-facon).
Det er den meget indskrænkede grad af netværksovervågning -- det er sikkert nok til at jeg får atter en påtale for at nævne det i dette forum --jeg har udført. Imidlertid tør jeg konkludere, at man har én central router, som man anvender til ip-filtrering udadtil. Jeg antager også, at det er denne host, som samtidig håndterer ovennævnte caching -- men, det kan nu være så meget.
Tilsyneladende er man ikke så indskrænkende på de populære porte, men lukker til gengæld alt andet. Det er såmænd også ``meget godt'', men når man tænker på forskellen på ``sund paranoia'' og ``uindskrænket paranoia'' -- jah, jeg erklærer mig utilfreds. Hvad var der eksempelvis galt i:
Tillade ubegrænset trafik på de klassiske porte (80, 21, 13? o.s.v.)
Sætte en trafikgrænse med mail-rapportering på alle andre portnumre, når disse eksempelvis var over 100MB i løbet af én time
Formålet ville naturligvis være, at begrænse virustrafik (på fancy portnumre), samtidig med at tillade småservices som XMPP o.l.. Når så disse ramler over en begrænsning, vil de blive lukket indefra og udadtil, til dagen er omme, og den IT-ansvarlige har tjekket mail. Hvor svært er det?
Du fik mig imidlertid til at tænke: Jeg kunne da lade sshd binde til den port, som MSN connecter igennem. Ikke at jeg tager mig af det, for to skoledage, men... Det var da ikke den værste workaround.
I øvrigt er Fronter et rent http-system, og kræver intet klientsoftware.. (Selv om den grafiske nydelse forbedres en del, hvis man har en browser, som har den samme opfattelse af begrebet "baggrundsfarve", som Fronter-holdet har).
D'herrer Windows-brugere, som er på skolen, forbinder igennem MSNs Messenger. Jeg mener -- fra den gang da jeg sidst rørte den applikation -- at den kører igennem en port, hvis nummer er i den øverste del af 5000-feltet. Ret mig, hvis jeg tager fejl, selvfølgelig.
Imidlertid kan disse klienter forbinde til deres master- og switchboard-server. Jeg ved ikke, om de ``hacker port 80'' fra Microsofts side, for netop at komme over denne slags IT-ansvarlige, men... Connecte, det kan de gode Windows-brugere da.
Psi (ikke en forkortelse, i øvrigt), som også er min foretrukne Jabber-klient, kan imidlertid ikke connecte. Pakkerne går tabt (``DROP'' for at sige det på iptables-facon).
Det er den meget indskrænkede grad af netværksovervågning -- det er sikkert nok til at jeg får atter en påtale for at nævne det i dette forum --jeg har udført. Imidlertid tør jeg konkludere, at man har én central router, som man anvender til ip-filtrering udadtil. Jeg antager også, at det er denne host, som samtidig håndterer ovennævnte caching -- men, det kan nu være så meget.
Tilsyneladende er man ikke så indskrænkende på de populære porte, men lukker til gengæld alt andet. Det er såmænd også ``meget godt'', men når man tænker på forskellen på ``sund paranoia'' og ``uindskrænket paranoia'' -- jah, jeg erklærer mig utilfreds. Hvad var der eksempelvis galt i:
Tillade ubegrænset trafik på de klassiske porte (80, 21, 13? o.s.v.)
Sætte en trafikgrænse med mail-rapportering på alle andre portnumre, når disse eksempelvis var over 100MB i løbet af én time
Formålet ville naturligvis være, at begrænse virustrafik (på fancy portnumre), samtidig med at tillade småservices som XMPP o.l.. Når så disse ramler over en begrænsning, vil de blive lukket indefra og udadtil, til dagen er omme, og den IT-ansvarlige har tjekket mail. Hvor svært er det?
Du fik mig imidlertid til at tænke: Jeg kunne da lade sshd binde til den port, som MSN connecter igennem. Ikke at jeg tager mig af det, for to skoledage, men... Det var da ikke den værste workaround.
I øvrigt er Fronter et rent http-system, og kræver intet klientsoftware.. (Selv om den grafiske nydelse forbedres en del, hvis man har en browser, som har den samme opfattelse af begrebet "baggrundsfarve", som Fronter-holdet har).
#74 har du prøvet at sætte PSI på til at smutte gennem en http proxy?
Hvis det er så er det det MSN brugerne gør. det er iøvrigt port 1863 den bruger.
hvis der ikke er en proxy og MSN kommer på så må firewallen nesten understøtte universal plug'n'Play, og så holder sikkerhedsargumentet bare ikke længere.
ang fronter
hvordan faen overfører det så filer til printeren modtager den prn/ps filer via http-upload eller.
Hvad jeg umidbart kan læse så er fronter et af de her nymodens knowledge management systemer, der genrelt er en pestilens at arbjde med.
Og ikke noget der har ret meget med print at gøre.
Hvis det er så er det det MSN brugerne gør. det er iøvrigt port 1863 den bruger.
hvis der ikke er en proxy og MSN kommer på så må firewallen nesten understøtte universal plug'n'Play, og så holder sikkerhedsargumentet bare ikke længere.
ang fronter
hvordan faen overfører det så filer til printeren modtager den prn/ps filer via http-upload eller.
Hvad jeg umidbart kan læse så er fronter et af de her nymodens knowledge management systemer, der genrelt er en pestilens at arbjde med.
Og ikke noget der har ret meget med print at gøre.
#75 -- Du må undskylde, at jeg fik Fronter fremstillet som om det var relateret til udskriftssystemet. Udskriftssystemet er det omtalte ``JAS'', og lektie-skidtet er ``Fronter''. De to er fuldstændig adskilt, men formår dog at dele den nævnte karakteristik: ``pisseirriterende at arbejde med''.
Hvad mener du med http-proxy? Jeg har ikke arbejdet særligt meget med proxies, men AFAIK, så er det en måde at lette Inet-forbindelsen for en virksomhed eller instution, ved at cache diverse filer fra Inet, og levere disse lokale kopier til netværket, når dette udbeder filerne igennem proxyen?
I så fald, hvordan skal det så hjælpe mig, når vi ingen proxy har på CEU Kolding? (AFAIK, igen).
Hvad mener du med http-proxy? Jeg har ikke arbejdet særligt meget med proxies, men AFAIK, så er det en måde at lette Inet-forbindelsen for en virksomhed eller instution, ved at cache diverse filer fra Inet, og levere disse lokale kopier til netværket, når dette udbeder filerne igennem proxyen?
I så fald, hvordan skal det så hjælpe mig, når vi ingen proxy har på CEU Kolding? (AFAIK, igen).
Er problemet med fronter at den ikke virker med firefox, eller at konceptet og UI'et generelt stinker?
Jeg har prøvet at skulle arbejde med sådan et system, og det var noget overdesignet lort, der gjorde alting så besværligt som overhovedet mugligt eller det var sådan det føltes.
JAS hvad faen er det Google mener at det er et trykkeri i staten wahshington, og en omformer producent i england.
En proxy er mere end det, der er faktisk en ret flydene grense mellem firewall's og proxy'er.
En proxy kan foretage avanceret regulering af adgangen til internetter herunder åbne og lukke for porte for bestemte brugere.
Prøv at tilføje en proxy i PSI på den ip der er gatewayen eller firewallen.
Det kan godt værre det virker men...
En transperent tvungen proxy vil du som bruger se som at alt andet end port 80 er lukket.
Jeg har prøvet at skulle arbejde med sådan et system, og det var noget overdesignet lort, der gjorde alting så besværligt som overhovedet mugligt eller det var sådan det føltes.
JAS hvad faen er det Google mener at det er et trykkeri i staten wahshington, og en omformer producent i england.
En proxy er mere end det, der er faktisk en ret flydene grense mellem firewall's og proxy'er.
En proxy kan foretage avanceret regulering af adgangen til internetter herunder åbne og lukke for porte for bestemte brugere.
Prøv at tilføje en proxy i PSI på den ip der er gatewayen eller firewallen.
Det kan godt værre det virker men...
En transperent tvungen proxy vil du som bruger se som at alt andet end port 80 er lukket.
#77 -- Nej, problemerne med Fronter på CEU Kolding er, i min mening:
Manglende W3C-validering
Prisen (og at der er én!)
Vammelt forhold til webudvikling (de brystede sig af at have adskillige udviklere til <kendte platforme> ved personlig henvendelse -- hvad det handler om, er ikke at de skal skrive systemet til browserne, men til W3Cs guidelines.) -- ikke at dette er et problem i sig selv (beklageligvis), men så skal de ikke bryste sig med ``åbne standarder'' på deres hjemmeside. (Og ja, jeg ved, at Fronter != CEU Kolding)
Af lidt mindre teknisk karakter kan nævnes, at Fronter et blevet udvekslingsted for .doc. Før var der papiroplæg -- nu er der papiroplæg, når man har skrevet oplægget ud vha. skolens maskiner.
``JAS'' er et accounting-system, som knytter sig til Windows-brugernavne. Jeg ved ikke så meget om, hvordan det er lavet, men -- Windows-shares til at dele printerne med. Om det har et andet navn, er jeg ikke sikker på. Det er udelukkende blevet omtalt som ``JAS''.
Manglende W3C-validering
Prisen (og at der er én!)
Vammelt forhold til webudvikling (de brystede sig af at have adskillige udviklere til <kendte platforme> ved personlig henvendelse -- hvad det handler om, er ikke at de skal skrive systemet til browserne, men til W3Cs guidelines.) -- ikke at dette er et problem i sig selv (beklageligvis), men så skal de ikke bryste sig med ``åbne standarder'' på deres hjemmeside. (Og ja, jeg ved, at Fronter != CEU Kolding)
Af lidt mindre teknisk karakter kan nævnes, at Fronter et blevet udvekslingsted for .doc. Før var der papiroplæg -- nu er der papiroplæg, når man har skrevet oplægget ud vha. skolens maskiner.
``JAS'' er et accounting-system, som knytter sig til Windows-brugernavne. Jeg ved ikke så meget om, hvordan det er lavet, men -- Windows-shares til at dele printerne med. Om det har et andet navn, er jeg ikke sikker på. Det er udelukkende blevet omtalt som ``JAS''.
#79 -- På et tidspunkt havde jeg sat mig i hovedet, at jeg ville have et grønt theme. Det var ikke just kønt i forbindelse med Fronter.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund