Valles Blog

Schon vor einiger Zeit berichtete ich über die Möglichkeiten, die ARP-Spoofing so mit sich bringt. Da dies nun auch in meiner Schule immer populärer wird, habe ich mich nun dazu entschlossen zusammen mit den Informatik Lehrern meiner Schule dagegen vorzugehen. Letzte Woche hielt ich einen zweistündigen Vortrag vor einigen interessierten Lehrer und Angestellten der Schule. Dabei zeigte ich die unterschiedlichen Möglichkeiten, die man zusammen mit arpspoof, dnsspoof, Wireshark uvm. so hat. Fazit: Das muss geändert werden. Meine Schule bietet ein kostenlos für jeden Schüler im gesamten Has verfügbares WLAN-Netzwerk an, mit dem man mit den Schul-Laptops (oder so wie ich mit eigenen Laptops) das Webangebot der Schule nutzen kann. Im bisher noch komplett geswitchten Netzwerk kann man so nach Lust und Laune sniffen.

Also habe ich mich mal auf die Suche nach sinnvollen Gegenmaßnahmen gemacht. Dabei sind wir zum Entschluss gekommen, dass primär erstmal die Netzwerk Infrastruktur geändert werden muss. VLANs für verschiedene LAN Bereiche der Schule und für jeden Access Point verhindern schonmal ein ARP-Spoofing im gesamten Netz.

Eine weitere Maßnahme wird der experimentelle Einsatz  von “arpwatch“. Arpwatch überwacht den ARP Traffic im Netzwerk und ist in der Lage Änderungen im ARP-Cache zu erfassen. Sollte ein mutmaßlicher Angriff erfasst worden sein, so kann arpwatch den Administrator mit Hilfe einer E-Mail benachrichtigen. Dieses System habe ich in meinem heimischen Netzwerk bereits mit Erfolg getestet.

Allerdings ergeben sich trotzdem noch Haken. Leider bin ich bisher mangels Hardware bzw. Zugang nicht dazu gekommen auch nur irgendwas mit VLANs machen zu können. Sofern mich mein Verständis eines VLANs aber nicht täuscht, dürfte es nicht möglich sein, ARP-Anfragen über das VLAN hinweg zu senden. Folglich kann arpwatch nur Attacken in einem bestimmten VLAN auffassen – was natürich keinen Sinn mehr macht. Ein anderes Problem ist, dass wir noch nich genau wissen, ob und wie man solche Attacken nicht nur automatisch erfassen sondern auch direkt unterbinden kann. Ideal wäre es, einen böswilligen Teilnehmer direkt vom Access Point aus zu sperren, sodass dieser keine Verbindung mehr zum WLAN hat. Allerdings widerspricht das doch etwas dem ursprünglichen Sinn des gesamten Netzwerkes; nämlich den Schülern auch während des Unterrichts Internet zu Verfügung zu stellen. Andererseits ist Unterricht auch nicht für ARP-Spoofing gedacht.

Ich werde auf jeden fall noch einige Gedanken an diesem Problem verschwenden. Die Sache mal von der anderen Seite, d.h. aus Sicht des Netzwerkadministrators zu betrachten bringt ganz neue Probleme aber auch Vorteile mit sich. Ich hoffe weiterhin auf Unterstützung seitens der Lehrer, ohne deren Zustimmung ich wohl vorerst keine Möglichkeit haben werde, mit derartig großen Netzwerken Erfahrung zu sammeln.

Schade eigentlich, dass sie jetzt rum ist, die Skifreizeit mit den Klassen 9c und 9d unserer Schule. Fast eine Woche lang befanden wir uns in Italien, genauer gesagt im Ahrntal bei Südtirol. Dort zierte meterhoher Schnee die Landschaft, auch wenn das Wetter nicht gerade das beste war. Beschweren kann man sich aber dennoch nicht, denn es hätte viel schlimmer kommen können.

Sage und schreibe 13 Stunden Fahrt sowohl für Hin- als auch Rückfahrt haben sich aber auf jeden Fall gelohnt. Die super Pisten des Klausbergs entschädigten auch das tägliche Aufstehen um bereits 7 Uhr und das eher mäßige Essen. Die rund 4-5 Stunden Skifahrt pro Tag können zwar auf Dauer ganz schön auf die Gelenke gehen (besonders bei so alten Männern wie mir *g*), aber das Gefühl wenigstens bei einer Sportart was drauf zu haben, tut mir persönlich ganz gut – schließlich geht es auch nächsten Freitag gleich nochmal ein Wochenende in den Skiurlaub, wenn auch diesmal mit Familie. Details dazu folgen.

Und wie ich es bisher eigentlich immer gemacht habe, möchte ich jetzt noch einige Erinnerungsfotos anhängen, damit sich jeder was darunter vorstellen kann. Die Beschreibung der einzelnen Fotos spare ich mir; die kann jeder interpretieren, wie er möchte. Ansonsten darf natürlich auch einfach gefragt werden.

Letzten Donnerstag – ich hatte mal wieder 8 Stunden Unterricht – haben wir die letzten zwei Unterrichtsstunden komplett im neuen Medienraum verbracht. Für nicht-Eingeweihte: Unser Medienraum ist nichts anderes als der vorherige Informatik-Saal, klingt nur toller. *g* In diesem Saal haben wir 30 neue Dell-Laptops. Die kompletten zwei Stunden hat unser Lehrer damit verbracht, uns die Laptops und das neue System näher zu bringen. Auch wenn es wahrscheinlich 70% der Schüler überhaupt nicht interessiert, konnte man zumindest erkennen, wie stolz unser Lehrer war.

Auf allen Laptops läuft jetzt ein Programm, welches sich DriveKeeper nennt. Mit Hilfe dieses Programms ist es den Lehrern möglich, die Laptops gnadenlos zu überwachen. USB ausschalten, CD-Laufwerk deaktivieren, Internet sperren, Bildschirm sperren, … Das ist wohl das, was sich der Lehrer von Heute wünscht. Das Programm zu umgehen ist keine besonders große Herausforderung, zumindest nicht für mich, aber für die meisten Schüler reicht es.

Die Laptops sind zur Hälfte mit einer WLAN-Verbindung ausgestattet. Damit soll es später möglich sein (oder ist es auch jetzt schon), die Laptops mobil in der gesamten Schule zu verwenden. Die andere Hälfte soll via am Tisch befestigtem Lan-Kabel angeschlossen werden. Fragt sich nur, wozu man dann nicht einfach normale Desktops kauft…

Außerdem – und das ist der Kernpunkt dieses Posts – wurde uns ein Netzwerk-Diagramm gezeigt und es wurde uns erläutert, was später einmal noch alles möglich sein soll. Ich muss schon sagen, ich bin erstaunt, wie umfangreich zumindest die Planung ist. Von eigenen Accounts (Speicher inbegriffen) im Active Directory über Schul-weites WLAN mit RADIUS (Login über eigenen Account) soll alles drin sein. Ich bin gespannt, ob das alles wirklich umgesetzt wird – und wenn ja, wie lange das wohl dauern mag. Wer weiß, vielleicht ändert sich meine Meinung ja doch noch. *g*

Ich muss mir jetzt mal die Meinung vom Leib schreiben. Bitte beachten, dass alles was hier gesagt wird meine Meinung ist und nichts weiter damit zutun haben muss, wie es wirklich ist.

Heute im Religions-Unterricht hat unser Religions-Lehrer einmal rumgefragt, wo wir denn alle Praktikum machen. Ich glaube, ich habe es noch nicht gesagt, aber ich mache bei 1&1 in Zweibrücken. Mein Lehrer weiß, dass ich mich recht gut mit dem “Thema Computer” auskenne. Da “wir” “momentan” auf ein Windows-Netzwerk in der Schule umstellen, hat er mich auch nach dem Unterricht angesprochen, ob ich denn da nicht irgendwo helfen kann. Klar kann ich das, ich habe sogar schon selbst (von mir ausgehend) meine Hilfe angeboten. Er begründete das auch damit, dass bei der Umstellung momentan die Hilfe gebraucht wird, da die dafür Zuständigen damit “überfordert” sind. (Ich glaube das hat er wörtlich gesagt) Aber irgendwie kommt mir das alles so komisch vor.

Wie gesagt, bin ich äußerst gerne dazu bereit, dabei zu helfen. Und das sollte mittlerweile jeder wissen. Aber es passiert nichts. Keiner kommt und fragt, ob ich mal was machen kann. Nein, ganz im Gegenteil: Ich war noch vor einiger Zeit Administrator im Linux-Netzwerk. Das Root-Passwort gibt es nicht mehr, das neue Administrator-Passwort ist anders. Und mir wurde nichts davon gesagt – raus, ohne Worte. Damit will ich nichtmal Ansprüche stellen, die ich nicht habe. Aber dennoch sollte es jedem einleuchten, dass das nicht die feine englische Art ist.

Dass Hilfe gebraucht wird kann man auch selbst merken. Ich will nochmal sagen, dass das meine eigene Meinung ist. Ich will niemanden was unterstellen oder etwas schlecht reden. Ich will es nur sagen. Die Rechner, die es momentan in der Schule gibt sind schlimmer als in jedem Kiosk. Erstmal wurden aus jedem Rechner die CD-Laufwerke heraus genommen. Das waren extra Brenner, um als Schüler oder Lehrer auch CDs brennen zu können, was ja durchaus mal von Nützen sein kann. Warum? Das wüsste ich auch gerne. Ich finde es Schwachsinnig. Dann wurde wohl time-by-time alles verboten, was machen auf Computern so machen kann. Das Startmenü wurde derartig kastriert, dass es schon kaum mehr nach Windows aussieht. Der Ausführen-Dialog ist weg und der cmd.exe wurden die Ausführrechte entnommen. Ist ja auch unglaublich, was man damit alles machen kann. Sie bietet ja sogar die Möglichkeit andere Rechner anzupingen, was ja bekanntlich tödlich für jeden Kernel ist. Begründet wird das natürlich alles mit der Allround-Ausrede “Sicherheit”. Frei nach dem Motto “unusability by misunderstanding of security” (danke, Marcel) wurde auch gleich mal Google-Chrome installiert – damals noch Beta, heute aber auch kaum besser.

Außerdem ist es momentan noch so, dass jeder Schüler sich über den gleichen Account einloggen muss, da der Login-Server noch nicht funktioniert. Das ist ja noch nicht weiter schlimm, man kann ja auch nicht alles auf einmal machen. Was daran so lange dauert weiß ich zwar nicht, aber es wird schon Gründe geben. Viel schlimmer finde ich, dass besonders Hardware-technischen doch alles gegeben ist. Drei Windows-Server laufen im Dauerbetrieb; in der gesamten Schule sind Access-Points verteilt, die eigentlich mal per WLAN jedem Schüler Internet über den eigenen Account geben sollten; überall liegen hoch qualitative Kabel und Switches, von denen ich nur träumen könnte. Aber ich habe einfach den Eindruck, dass Software-technisch das alles nicht so genutzt wird, wie man es hätte nutzen können. Klar hat eben nicht jeder Ahnung von Linux, was ja durchaus ein Argument für die Umstellung auf Windows ist. Aber ist Windows wirklich einfacherer? Besser ist es mit Sicherheit nicht. Gerade _weil_ eben nicht jeder Ahnung von Linux hat, hielt sich die Sicherheit in diesem Bereich immer sehr gut. Aber nein, eine Umstellung muss her, “weil sich keiner damit richtig auskennt”. Bin ich keiner? Ich verstehe dieses Vorgehen einfach nicht. Es ist genug Geld da, um eine Windows-2003-Server-Lizenz für 3 Server und Windows-XP-Lizenzen für ca. 30 Rechner zu kaufen. Dass Schüler nicht genug sind mag ja vielleicht noch einigermaßen verständlich sein. Aber für wesentlich weniger Geld hätte man auch eine Teilzeitkraft für das Linux Netzwerk bekommen – oder eben einen Schüler. Achja: Aber 10EUR Papiergeld von jedem Schüler einsammeln, weil Papier (besonders in der Massenbestellung für Schulen) so teuer ist.

Nun; ich kann daran nichts ändern. Ich bin nur ein Schüler, vielleicht einer, der sich etwas mehr darum kümmern würde als andere, aber letztlich doch nur Schüler. Ich fand es unglaublich spannend, wie vorbildlich das Netzwerk früher einmal war. Es war für mich einfach nur das Vorzeige-Netzwerk. Der Grund, warum Schüler in unsere Schule kommen sollten. Ich nutze das Netzwerk mittlerweile kaum mehr. Nicht nur, weil es einfach keinen Spaß mehr macht, sondern auch, weil ich es nicht mehr unbedingt brauche. Trotzdem ist für mich der Reiz da, allen anderen Schülern auch diesen Luxus zu geben, wie ich ihn vor ein paar Jahren noch genossen habe. Der Grundstein ist noch da, ändern kann man immer noch einiges. Ob es soweit kommt steht noch in den Sternen. Meine Meinung wisst ihr jetzt – und ich bin froh mal darüber “reden” gekonnt zu haben.

Lang, lang ist’s her, da habe ich meinen letzten Eintrag geschrieben. Ich wusste einfach nicht, was ich hätte schreiben sollen. Gut, das ein oder andere war da sicherlich, aber irgendwie hat man auch manchmal einfach keine Lust.

Jedenfalls haben wir heute unsere Dr. House Spielkarten von unserer Kunstlehrerin zurück bekommen. Auch wenn es nur eine 2- geworden ist, bin ich stolz auf mich. Denn für einen so ungemein kreativen Menschen wie mich, ist eine 2- im Kunst-Unterricht durchaus eine Leistung. *g* Das mag aber wahrscheinlich nur daran liegen, dass diese Karten eine Gruppenarbeit war. die ich zusammen mit Michael gemacht habe, der in der Hinsicht mir um Einiges überlegen ist.

Jaja, ok, ich halte ja schon die Klappe. Also hier ist das Foto.

Ich komme gerade aus der Schule (Ja richtig, es ist Samstag)… Heute war Tag der offenen Tür bei uns. Da ist für jeden Schüler jeder Klassenstufe Unterricht. Zwar haben wir nur 4 Stunden und auch nur verkürzte Stunden mit wesentlich längeren Pausen, aber trotzdem beginnt die Schule wie normal um 7:40 Uhr. Grausam sowas; das hat mir das ganze Wochenende verdorben. Und das Schlimmste ist ja, dass der Ausgleichstag (Der Wochentag an dem wir dann frei haben, weil wir ja heute in der Schule waren) während meines Praktikums sein wird. Das heißt dann natürlich, dass wir trotzdem zum Praktikum gehen müssen. Ehrlich gesagt will ich ja auch keinen Tag des Praktikums versäumen. Aber trotzdem sollten wir wie jede andere Klassenstufe einen Ausgleichstag haben. Sowas ist doch dämlich. Da frage ich mich doch, wo das Problem dabei liegt, diesen Ausgleichstag einfach mal zu verschieben. Das kann doch nicht sein, dass die gesamte 9. Klassenstufe um einen Tag verarscht wird – und das schon seit Jahren! Ich habe mich mal als Klassensprecher bei unserem Schulsprecher beschwert. Vielleicht kann er ja ein Wort beim Schulleiter einlegen. Sowas ist doch nicht ok, oder?

Auch wenn ich die Themen, die meine Kunstlehrerin bisher behandelte nicht besonders prickelnd fand, muss ich doch ausnahmsweise mal gestehen, dass unser aktuelles Thema cool ist. Unsere Aufgabe ist es, Spielkarten zu einem uns beliebigen Thema zu gestalten. Eigentlich sollten wir zu unseren Idolen Spielkarten machen, aber wer hat heutzutage schon Idole, gibt diese offen zu und bringt sie auf eine Spielkarte? Letztlich ist es ja egal, ich habe auf jeden Fall Dr. House ausgesucht. Ob das jetzt mein Idol ist oder nicht, kann man bestreiten. Es gibt auf jeden Fall einige Dinge, auf die ich bei ihm nicht neidisch bin.

Ok, jetzt mal zu dem, was ich eigentlich sagen wollte. Habe heute den ganzen Abend daran gesessen, mal einen Prototyp an Karten zu entwerfen. Ist noch nicht so toll, wie ich das vielleicht erwartet habe, aber auf jeden Fall mal ein Anfang. Wir haben für den Buben ein Bild von Foremen, für die Dame ein Bild von Cameron, für den König natürlich House und für das Ass Cuddy genommen. Die habe ich aus einigen Bildern ausgeschnitten, gespiegelt und *zack* – schon sah das aus wie Spielkarten. Da wir nur eine Farbe (Bekannt als Pik, Herz, Karo und Kreuz) machen müssen, haben wir einen Gehstock genommen. Auch eine Rückseite für die Karten ist schon fertig. Da waren wir wohl aber weniger kreativ, da wir einfach aus einer Folge aus dem Intro  ein Bild genommen haben. Was jetzt noch fehlt ist ein Hintergrund auf der Vorderseite. Also der Teil hinter dem Bild von z.B. Dr. House und den Gehstöcken. Eine Idee haben wir aber auch da schon. Wieder ein Teil aus dem Intro.

Tja, mal sehen was die nächsten Tage dabei so rauskommt. Ich werde dann bei Gelegenheit natürlich auch ein paar Fotos vom Fertigen und auch dazugehörige PNGs veröffentlichen.