Klausurumgebung - Ergänzung Pflichtenheft

Alexander Dubielczyk Alexander.Dubielczyk at gmx.de
Sat May 10 13:02:02 CEST 2003 

Hallo zusammen,

da das gerade so schön in den Zusammenhang mit dem Einsammel-Laufwerk
passt, über das ich  z.Zt. mit Hans-Dietrich diskutiere, würde ich gerne
als Ergänzung Forderungen an eine Klausurumgebung in das Pflichtenheft
einbringen.

Ich verstehe unter besagter Klausurumgebung eine Art Zustand, in die ein
Teil des Netzwerks (meistens wohl ein Kabinett) temporär versetzt werden
kann, um einem Lehrer die sichere und komfortable Durchführung von
Prüfungen am Rechner zu ermöglichen.

1. Sicherheit

Um einen "betrugsfreien" Ablauf der Prüfung zu verhindern müssen
zunächst diverse Kommunikationsmöglichkeiten innerhalb des Netzwerks
stillgelegt werden, ohne dass dies Einfluss auf die für die Prüfung
benötigte Funktionalität der Arbeitsplätze hat (z.B. Domain-Logons,
zentrales Einsammeln der Daten über den Fileserver). 

1.1 direkte Kommunikation zwischen den Workstations

Meiner Meinung die am schwierigsten zu kontrollierende Kommunikation
innerhalb des Netzwerks. Sind die Workstations nicht genügend
abgesichert oder gelingt es wegen eines Lochs im Sicherheitskonzept
Programme auf die Arbeitsplätze zu schmuggeln, hat man da von Seiten des
Server-Admins kaum etwas entgegenzusetzen. Ich sehe dafür nur zwei
Möglichkeiten diesen Punkt in den Griff zu kriegen (persönlich benutze
ich ersteren)
	
a) Man setzt managebare Switches ein, die es erlauben jeweils den Server
und eine Workstation in ein VLAN (virtual LAN) zu packen. Damit ist nur
eine Kommunikation Server<->Workstation, nicht aber
Workstation<->Workstation möglich. Vorteile: sicher, einfach. Nachteile:
recht teuer, keine Programme nutzbar, die Peer-Funktionalitäten im Netz
benötigen

b) Überwachung der Kommunikation zwischen den Arbeitsplätzen mit einem
entsprechenden Sniffer, der ein Prüfungsprotokoll für den Lehrer
erstellt, worin dieser verdächtige Vorkommnisse auch bei Bedarf im
Nachhinein nachvolziehen kann. Nachteile: schwieriger umzusetzen,
komplizierter zu handhaben. Vorteile: kostengünstig, als Feature in den
Server integrierbar

1.2 Kommunikation über diverse Protokolle über den Server

Da sich Prüfungen mit Zugang zum Internet (unter dem Gesichtspunkt des
fairen Ablaufes) wohl von selbst verbieten, sollten im Zustand der
Klausurumgebung grundsätzlich alle Kommunikationsdienste des Servers
abgeschaltet werden. Dies kann z.B. über einen Paketfilter geschehen,
der zunächst *alle* Dienste schließt und selektiv nur diejenigen öffnet,
die wirklich nötig sind oder keinen Datenaustausch zwischen den
Arbeitsplätzen ermöglichen. Meiner Meinung nach müssen / sollten
folgende Dienste verfügbar sein (könnte unvollständig sein, bitte evt.
ergänzen!):
			- samba 
			- dhcp
			- dns (?)
			
1.3 Kommunikation über den Fileserver (samba)

Da der Fileserver/Logonserver unter normalen Bedingungen den Austausch
von Dateien ermöglich muss man sich auch hier Gedanken darüber machen,
wie dies zu kontrollieren ist. Ich denke die einfachste Lösung, die
einem viele Kopfschmerzen erspart und am wenigsten Angriffsfläche für
mögliche Betrügereien liefert ist folgende:

Man benutzt bei der Durchführung der Prüfung nicht die üblichen
Benutzer-Zugänge, sondern hat einen speziellen Satz Klausur-Benutzer
(z.B. Benutzername := Rechnername). Diese könnten kurz vor Beginn der
Prüfung von einem Lehrer durch Start eines Skripts (siehe später)
komplett neu initialisiert werden. Damit würde verhindert, dass sich
irgendwo im Windows-Profil oder im normalen Homeverzeichnis vorbereitete
Daten befinden. Es wäre vermutlich sinnvoll bei der Initialisierung auch
neue (Einmal-)Passwörter für diese Accounts zu generieren, damit sich
während der Prüfung nicht von anderer Stelle des Netzes jemand mit dem
evt. vorher schon einmal bekannt gewordenen Standard-Klausur-Passwort
einloggen und damit Daten zuspielen kann.

Der Zugang zu den üblichen Tausch-/Gruppenlaufwerken ist den
Klausur-Benutzern über entsprechende Gruppeneinstellungen in samba
untersagt. Eventuell wäre ein Read-Only-Laufwerk sinnvoll damit durch
den Lehrer Material zur Verfügung gestellt werden kann.

Zusätzlich kann nur noch auf das Einsammel-Laufwerk (siehe parallele
Diskussion mit Hans-Dietrich Kirmse) zugegriffen werden, welches
ebenfalls bei vorheriger Initialisierung der Klausurumgebung geleert
wurde.

2. Komfort

Da die Klausurumgebung nicht nur clevere Betrügereien zuverlässig
verhinder muss, sondern auch zusätzlich auch dem Lehrer die Durchführung
möglichst einfach gestalten soll, hier mal ein paar Gedanken, wie der
Ablauf so einer Klausur stattfinden könnte.

2.1 Initialisieren der Umgebung

Vor Beginn der Klausur geht der Lehrer an seinen Rechner und kann über
das Webinterface den lokalen Raum für die Klausur auswählen. Nach
Bestätigung werden die o.g. Vorbereitungen für die Sicherheit
durchgeführt. Es werden die neuen Passwörter generiert und in einer
druckbaren Version auf der Webseite dargestellt. Die ausgedruckten
Einweg-Passwörter könnten z.B. verdeckt an den Arbeitsplätzen ausgelegt
werden.

2.2 Überwachung der laufende Klausur

Alle Domain-Logins/Logouts während der Klausurzeit müssen dem Lehrer auf
seinem Arbeitsplatz angezeigt werden. Damit ist sichergestellt, dass
niemand schnell mal kurz auf seinen Standard-Benutzer wechselt. Neben
der laufenden Darstellung werden diese Daten auch in ein Protokollfile
geschrieben, welches so platziert werden muss, dass es vom Lehrer am
Ende der Prüfung leicht kopiert werden kann.

Wählt man die Variante mit der Sniffer-Überwachung des Netzes, muss der
Lehrer an dieser Stelle ebenfalls durch eine aktuelle, aufbereitet
Übersicht des Netzwerkgeschehens informiert werden. Genauso ist ein
entsprechendes Protokollfile zu erzeugen, welches im Nachhinein
eingesehen werden kann.

2.3 Ende der Klausur

Der Lehrer kopiert alle Daten des zum Raum gehörigen Container-Laufwerks
auf ein Medium seiner Wahl. Günstig wäre es, wenn die Logfiles auch
direkt im Container liegen würden, damit sie nicht versehentlich
vergesssen werden. Danach wird der Raum wieder in den alten Zustand
versetzt und die Klausur-Benutzer gelöscht/deaktiviert.

Soviel zu meinen Gedanken zu dem Thema. Teilweise habe solch eine
Umgebung schon auf einem Eigenbau-Server (SuSE) laufen. Worüber man sich
noch Gedanken machen müßte wäre evt. wie man die Benutzung nicht
erwünschter aber auf den Arbeitsplätzen installierter Programme
verhindert (Englisch Klausur -> Wörterbuch-Programm....).

Gruß,
		Alex


-- 

Alexander Dubielczyk <Alexander.Dubielczyk at gmx.de>

Public PGP/GPG Key: http://www.rep-intern.de/keys/alexdu.gpg
Key fingerprint = 61BA 2C78 3503 B7ED 9B00 61DA D8D8 6C8F 3F2B 1302

More information about the SAN mailing list