Netwerkprinter te printen via Linux, pin omzeilen

Direct op ip printen niet toestaan. Dat is nl wat je doet, ipv via de equitrac poort.
Ik neem toch aan dat de sysad,in wel weet hoe equitrac werkt...

[ Voor 27% gewijzigd door KillerAce_NL op 12-09-2012 20:01 ]

Volgens mij als je de printers in een ander vlan zet en alleen de machine waarop equitrac draait in de firewall toegang geeft ben je eruit.

KillerAce_NL schreef op woensdag 12 september 2012 @ 20:00:
Direct op ip printen niet toestaan. Dat is nl wat je doet, ipv via de equitrac poort.
Ik neem toch aan dat de sysad,in wel weet hoe equitrac werkt...

En hoe verwacht jij dat die equitrac iets naar de printer stuurt?

Het probleem is dat de TS simpelweg de printer op dezelfde manier kan benaderen als dat de server doet en dat dan dus de verrekening niet meegaat.

Je moet of een speciale printer hebben die echt specifiek equitrac ondersteunt of je moet een "vuur"muur tussen clients en printer zetten waar enkel de equitrac server doorheen mag gaan.

Gomez12 schreef op woensdag 12 september 2012 @ 20:50:
[...]

En hoe verwacht jij dat die equitrac iets naar de printer stuurt?

Het probleem is dat de TS simpelweg de printer op dezelfde manier kan benaderen als dat de server doet en dat dan dus de verrekening niet meegaat.

Je moet of een speciale printer hebben die echt specifiek equitrac ondersteunt of je moet een "vuur"muur tussen clients en printer zetten waar enkel de equitrac server doorheen mag gaan.

Nou zoiets als boven je gepost is.
Ik verbaasde me meer over het feit dat ze op zijn school blijkbaar niet weten hoe hij equitrack poorten omzeilt....

Waarom niet 2 gescheiden netwerken? Stop in de Equitrack server 2 netwerkkaarten: een waar alle pc's aan hangen, een waar de printers op hangen.
Met wat VLAN's kun je dat mooi gescheiden houden.

koeny 3 schreef op zondag 16 september 2012 @ 14:32:
Bedankt voor de ideeën! Enige punt is dat er wel 20 printers door de hele school verspreid staan. We kunnen ze niet dusdanig instellen (zegt de sysadmin) dat ze maar één IP accepteren. Hoe zou een firewall dan in zijn werking gaan?

Kan wel. Gewoon apart VLAN en access-list op de firewall of core router configureren zodat enkel een handvol IP's toegang hebben tot die VLAN.

VLANs zijn waarschijnlijk te hoog gegrepen voor sysadmin

Als z'n switches geen vlanning ondersteunen ondersteunen ze meestal ook niet het blokkeren van DHCP servers, ARP poisoning en zal er ook geen STP opzitten, resultaat: iemand gaat zitten kloten en het hele netwerk is offline, als dat het geval is dan heeft de sysadmin vanaf heden nog wel wat meer dingen op z'n prioriteitenlijstje staan.

Je moet het ook niet spannender maken dan het is.

ARP-spoofing / ARP-poisoning etc. etc. is allemaal niet relevant zolang je enkel pc's van andere leerlingen kan treffen en geen administratie pc's.

Op zich zou een imho ideale situatie zijn :
- Elk lokaal een eigen vlan voor de pc's
- Elke leraren pc met een firewall uitgerust
- Elk type randapparaat een eigen vlan

Maar in principe zou het volgende volstaan :
- 1 vlan leerlingen
- 1 vlan administratief personeel ( of galvanisch gescheiden )
- 2 monitoring instances (1 voor personeel, 1 voor leerlingen)

Dat tientje aan "illegale" printjes gaat de school niet echt failliet aan, het vernaggelen van een les door het netwerk te verstoren levert je waarschijnlijk boze blikken van je klasgenoten op.

Zolang je enkel je mede-leerlingen kan storen is er geen man overboord. Wordt het echt te gek dan gooien ze die monitoring instance aan en gaan kijken wie het doet.

Het simpele feit dat je 250 attacks kan gebruiken op een netwerk zegt niets als geen enkele van die 250 iets van enige impact kan doen.

Klinkt als een netwerk waar hoognodig een andere sysadmin op moet komen...

Ik heb nog wel een paar suggesties voor je directeur (dan noem ik het natuurlijk consultancy... )

Gekheid, maar serieus, er is daar behoorlijk wat mis, zeker met de beschreven mentaliteit. Er is een identificatie van de problemen nodig, en dat is duidelijk niet alleen het direct kunnen printen naar de printers. Zo te horen is er veel meer aan de hand met dat netwerk en is het een godswonder dat het überhaupt nog draait.

Overigens: VLAN's zijn kunstmatig te creëren door verschillende fysieke switches te gebruiken en deze exclusief in een subnet te gebruiken. Het argument dat de switches dat niet ondersteunen is naar mijn mening niet valide.

[ Voor 18% gewijzigd door Verwijderd op 17-09-2012 20:12 ]

Verwijderd schreef op maandag 17 september 2012 @ 20:11:
Zo te horen is er veel meer aan de hand met dat netwerk en is het een godswonder dat het überhaupt nog draait.

Lol, welkom in the real world zou ik zeggen. Waar geld niet oneindig is en dus ook consultancy uren gewoon verantwoord moeten worden.

Dit is geen aparte situatie die hier geschetst wordt hoor. Als je het een wonder vindt dat het netwerk nog draait dan vermoed ik dat je net van school komt, meer dan 90% van de netwerken werkt namelijk zo.

Verwijderd schreef op maandag 17 september 2012 @ 20:11:
Klinkt als een netwerk waar hoognodig een andere sysadmin op moet komen...

In Delft stonden ("in mijn tijd") 2 laserjets continu te draaien. Tegen de tijd dat de "wachtlijst" verwerkt was, pakte je een pak papier en was je aan de beurt. De argumentatie: een betaalsysteem opzetten zou vereisen dat ze er iemand voor aannemen, en dat is duurder dan studenten gewoon gratis te laten printen. Prima toch? 't Is ook redelijk zinloos om op een paar euro consumables te besparen.

Verwijderd schreef op maandag 17 september 2012 @ 20:11:
Klinkt als een netwerk waar hoognodig een andere sysadmin op moet komen...

Als IT niet geen onderdeel is van je core dan zijn hoge investeringen moeilijk te verantwoorden en als de scholen in NL een beetje op die in België lijken dan is er altijd budget tekort. Het is dus niet altijd de schuld van de sysadmin, je mag al blij zijn als er een sysadmin is, want vaak is dat de leeraar IT die dat op zich neemt. (althans in het lager en middelbaar onderwijs van België)

Als vlan niet onderstuend wordt (switches die dat kunnen zijn duurder dan simpele domme switches), dan kunnen de printers in een appart subnet gehangen worden. Dat is te omzeilen, maar al minder simpel. Je moet dan een dhcp server aan de printers een andere ip range laten uitdelen, en de server een 2e ip nummer toewijzen, zodat die wel zondermeer bij de printer kan.

kost niks extra's, niet 100% veilig, wel extra werk.

Op basisscholen is dat inderdaad qua budget meestal zeer krap, maar op middelbare scholen valt dat allersinds mee, met de budgetten daar moet je echt wel wat behoorlijks neer kunnen zetten met vlan ondersteuning.
Ik weet niet wat leerlingen allemaal moeten doen op die computers, maar ik weet zeker dat het meer kost als er zich een broadcast storm voordoet dan wanneer je die switches gewoon vervangt.

moppentappers schreef op dinsdag 18 september 2012 @ 00:26:
maar ik weet zeker dat het meer kost als er zich een broadcast storm voordoet dan wanneer je die switches gewoon vervangt.

En als er nu in de komende 2 jaar geen broadcast storm komt?

Als er nu al in de planning staat dat het over 2 jaar vervangen wordt, dan is er zeer waarschijnlijk ook al de budgettering voor geregeld etc. etc.

Die budgettering krijg je dan niet spontaan los met "mogelijke broadcast storms" oid. Anders kan je elke maand het netwerk gaan vervangen vanwege het feit dat een leverancier een nieuw snufje heeft toegevoegd wat "mogelijke ..." voorkomt.

Eerst zien dat het een daadwerkelijk probleem is (en niet een theoretisch iets wat iemand zou kunnen doen maar nog nooit gedaan heeft) en wat dan de exacte impact ervan is, dan kan er daarna wellicht met wat budgetten geschoven worden. Maar niet eerder...

Het komt zeker op scholen vaak genoeg voor dat leerlingen/docenten zelf met de kabels rommelen en dan vervolgens per ongeluk een loop maken.
Op veel scholen vormt de computer/internet essentieel onderdeel van de les en het kunnen voltooien van opdrachten.
Als er een broadcast storm is, loopt alles in de situatie zoals deze bekend is gewoon vast wanneer deze aangesloten zijn op het netwerk. Leerlingen kunnen niet inloggen op hun account, docenten kunnen hun presentaties niet laten zien, toetsen kunnen mogelijk niet doorgaan en projecten kunnen niet op tijd worden ingeleverd.
Het komt voor, het is onwijs irritant om op te lossen en kost een hoop geld. Scholen denken dat ze gehacked zijn, laten dure consultants komen om het probleem op te lossen en daar gaat het budget wat je anders makkelijk voor je switches had kunnen gebruiken.
Het is geen theoretisch iets, ik bekend met genoeg situaties om te weten dat het iets is wat regelmatig voorkomt om slecht opgezette netwerken en dus ook resulteert in een fikse rekening.

Gomez12 schreef op maandag 17 september 2012 @ 18:32:
- 1 vlan administratief personeel ( of galvanisch gescheiden )

Galvanisch gescheiden?


Glasvezelkabeltje ertussen en al je problemen zijn voorbij?

Wat ik me afvraag bij het doorlezen van het netwerk is hoe de beveiliging van de cijfer- en leerlingadministratie er aan toe gaat. Op mijn oude middelbare school waren het docentennetwerk en studentennetwerk fysiek van elkaar gescheiden. Nu is dit een kostbaardere oplossing maar werken met VLAN's of ten minste segmentatie d.m.v. firewalling lijkt me toch het minste wil je in ieder geval de veiligheid waarborgen.

In mijn vorige school hadden ze voor het secretariaat/directie een aparte internetverbinding. Het schandalige was dat dat een ongelimiteerde Belgacom VDSL2 lijn was (in tegenstelling tot de Telenet verbinding voor studenten met een limiet van 100GB/maand) én dat er naast de Win2k8 DC in het rack een prachtige Astaro firewall appliance stond (enkel geconfigureerd als router).

Gomez12 schreef op maandag 17 september 2012 @ 21:46:
[...]

Lol, welkom in the real world zou ik zeggen. Waar geld niet oneindig is en dus ook consultancy uren gewoon verantwoord moeten worden.

Dit is geen aparte situatie die hier geschetst wordt hoor. Als je het een wonder vindt dat het netwerk nog draait dan vermoed ik dat je net van school komt, meer dan 90% van de netwerken werkt namelijk zo.

Hoe verkeerd kan je iemand inschatten: ik ben 46 jaar en heb inmiddels 12+jaar ict ervaring. De 'real' world heb ik ruimschoots mogen meemaken en die 90% die je aanhaalt is dan de beperking van jouw 'real world'
Op 'mijn' netwerken was het gewoon voor elkaar. Ook waar het budget beperkt was.

Verwijderd schreef op dinsdag 18 september 2012 @ 08:30:
[...]
en die 90% die je aanhaalt is dan de beperking van jouw 'real world'

Hmmm, op de een of andere manier gok ik toch dat home netwerken + mkb netwerken >90% van alle netwerken beslaan en toch draaien die allemaal.

Wat zal het op die school zijn? 2500 leerlingen met homenetwerken vs 1 school netwerk wat identiek ingericht is.

Het "een godswonder" noemen dat een netwerk nog draait is ietwat apart als je gaat kijken naar netwerken.

Verwijderd schreef op dinsdag 18 september 2012 @ 08:30:
[...]

Hoe verkeerd kan je iemand inschatten: ik ben 46 jaar en heb inmiddels 12+jaar ict ervaring. De 'real' world heb ik ruimschoots mogen meemaken en die 90% die je aanhaalt is dan de beperking van jouw 'real world'
Op 'mijn' netwerken was het gewoon voor elkaar. Ook waar het budget beperkt was.

Ach joh, er zijn zo veel netwerken waar veel niet goed voor elkaar is, niets nieuws. Ik vind dat je een beetje pocht. In de real world heb je te maken met leidinggevenden en hoger bestuurd dat niet wil investeren en gewoon een afweging maken. En ja, vaak wacht men gewoon af tot het misgaat en dan kun je schreeuwen wat je wil, dan ben je gewoon een roepende in de woestijn.

koeny 3 schreef op dinsdag 18 september 2012 @ 11:18:
[...]


Cijferadministratie wordt gedaan in Magister. Silverlight applicatie ( ) die langzaam is, maar wel goed werkt. Backend van dat systeem wordt beheerd en gehost bij SchoolMaster zelf, dus daar kunnen ze hier weinig fout aan doen..

Je kan altijd eens een man in the middle attack proberen uit te voeren en de credentials te stelen.