Не так давно был Cyber Security Forum 2015, где на секции «Информационная безопасность в образовании» меня увлек доклад Юрия Контемирова из Роскомнадзора. Он говорил о строгости проверок, осуществляемых под его управлением и посетовал на нерадивость некоторых школ, которых не особо парит защита от сетевых и информационных угроз. После доклада от участника форума прилетел интересный и довольно простой вопрос: «А где же собственно те стандарты, соблюдать которые нас призывают?» После короткой дискуссии выяснилось: «Проверки есть, а вот стандартов… нет».
Вернувшись с форума, решил обсудить вопрос стандартов в информационной безопасности школ со своей командой. Перед нами встал вопрос: «Сможем ли мы удовлетворить стандарты интернетизации школ»? Так появился новый пилотный проект Traffic Inspector School Edition ; (позиционируемый нами как решение по обеспечению комплексного безопасного доступа к сети Интернет в учебных заведениях).
Дальше перед нами встала задача – где реализовать нашу идею. Мы пришли с предложением в ГОРОНО Коломны и в качестве площадки нам предложили городскую гимназию №8.
В работе со школой в РФ мы получили опыт по информатизации учебных учреждений в соответствии с законами РФ (ФЗ-436 «О защите детей от информации, причиняющей вред их здоровью и развитию» и ФЗ-139 «О внесении изменений в Федеральный закон «О защите детей от информации, причиняющей вред их здоровью и развитию» и отдельные законодательные акты Российской Федерации по вопросу ограничения доступа к противоправной информации в сети Интернет»).
В итоге, мы разработали стандарт и инструкции по информатизации учебных учреждений в соответствии с законами Российской Федерации (ФЗ писал выше).
Теперь перейду к начинке и расскажу про косяки российских школ, свои «шишки» и поделюсь опытом работы по таким проектам.
Для реализации проекта был составлен следующий план:
- Анализ имеющейся сетевой инфраструктуры
- Определение недостатков текущей инфраструктуры
- Организация схемы
- Настройка необходимого оборудования и программного обеспечения
- Обучение персонала школы работе с программным обеспечением
Стоимость такого проекта составила примерно 380 тысяч рублей. Стоит отметить, что у каждой школы эта стоимость может варьироваться в зависимости от: общей площади школы, пуско-наладочных работ и количества закупаемого оборудования.
По срокам проблем не возникало: организация сетевой инфраструктуры в самой школе заняла неделю.
Теперь по пунктам (решил пройтись подробно по каждому, мое описание является инструкцией для школ и может помочь специалистам без труда проделать тоже самое в своих образовательных учреждениях и не только):
1.Анализ имеющейся сетевой инфраструктуры
Ситуация с сетевой инфраструктурой в учебном заведении была не простая и пришлось попыхтеть, чтобы разобраться и принять правильное решение.
За 10 лет сразу 3 местных провайдера заходили в гимназию со своими планами «интернетизации», но по каким-то неизвестным причинам все реализованные решения не отличались полнотой или логической завершенностью.
Первый провайдер ограничился установкой ADSL-модема и организацией Интернет-подключения в компьютерном классе.
Второй пошел дальше – подвел оптоволокно и даже реализовал механизм фильтрации по белому списку. Правда, обходилась такая фильтрация элементарной сменой DNS-серверов, да и реализована была так, что школа первое время не могла выйти на свой же школьный сайт.
Пришествие третьего провайдера «ознаменовалось» почти что полной «интернетизацией» — часть школьной сети была выстроена с помощью проводного Ethernet, другая с помощью Wi-Fi. Только и тут не обошлось без досадных накладок – очень быстро Wi-Fi сегмент стал напоминать «проходной двор» — дети быстро вычислили незапароленные точки и «сидели», где хотели. Во время проведения ЕГЭ, половина школьной сети «умирала» из-за функционирования необходимых по регламенту генераторов белого шума. Сетевой инфраструктуры, в полном смысле этого слова, так и не появилось – зато появилось множество полуизолированных сетевых «островков», использовавших разношерстное сетевое оборудование, подключенных по разным каналам доступа, имеющих совершенно разный уровень безопасности и сетевого контроля. Админы школы пытались переломить сложившуюся ситуацию. Но комплексного решения найти так и не удалось.
2.Определение недостатков текущей сетевой инфраструктуры
По итогам анализа состояния компьютерной сети в гимназии, мы со своими коллегами, в тесном сотрудничестве с администрацией гимназии, выявили основные моменты, которые требовали определенного вмешательства:
- Отсутствие единой хорошо продуманной сетевой инфраструктуры как таковой и возможности вести единый документооборот через локальную сеть.
- Использование старого серверного оборудования (некоторое необходимое серверное оборудование вообще отсутствовало).
- Отсутствие разграничения доступа для разного рода пользователей.
- Фильтрация, осуществляемая провайдером на основе списка разрешенных ресурсов. Для того, чтобы открыть сайт для работы, необходимо было обратиться к провайдеру с заявлением о внесении данного ресурса в список разрешенных сайтов. Рассмотрение таких заявок занимало много времени.
3.Организация новой сетевой инфраструктуры
Наша команда точно решила, что новая инфраструктура должна была стать технологически единообразной, т.е. избавиться от ошибок «половинчатых» решений, утвержденных ранее. Мы решили отказаться от беспроводного доступа в пользу повсеместной прокладки проводов.
В силу экономической целесообразности и распространенности, в качестве технологии локальной сети выбрали проводной Gigabit Ethernet.
Далее решили использовать иерархическую топологию сети как вытекающую из особенностей самой технологии Ethernet, а также плана здания и характера размещения помещений. На каждом из трех этажей установили специальные шкафы и разместили там управляемые свитчи. От каждого такого свитча проводной Ethernet разводился во все без исключения классы и кабинеты школы. В каждом классе оборудовалась аккуратная компьютерная розетка. Интернет наконец-то пришел в каждый класс. И в этот раз, уже не на словах. Было также выделено безопасное и хорошо вентилируемое помещение под серверную для размещения школьных серверов и шлюза безопасности.
4.Настройка необходимого оборудования и программного обеспечения
Закупаемое оборудование должно отвечать требованиям долговечности и надежности и соответствовать выбранному сетевому стандарту. Одним из требований к коммутаторам стала поддержка технологии VLAN, т.к. планировалось разделение доступа для разных категорий пользователей (гостей школы, учебных компьютеров и администрации). Мы выбрали управляемые свитчи D-Link DES-1210-28, как обеспечивающие наилучшее соотношение цена/качество. Всего понадобилось 5 свитчей. На каждом из трех этажей смонтировали специальные шкафы TECNOSTEEL Tecno 401 (было закуплено 5 экземпляров). Витую пару использовали следующей марки Telecom Ultra PRO (3700 метров).
Основное требование к программному обеспечению – наличие лицензии, сертификат ФСТЭК и технические возможности, позволяющие соблюдать законодательство РФ. Главным компонентом новой системы безопасности и контроля стал универсальный аппаратно-программный шлюз AquaInspector с программой Traffic Inspector FSTEC и модулем контентной фильтрации NetPolice на борту. Выбранное программное обеспечение помогло в организации гибкой контентной фильтрации с соблюдением ФЗ-436 и ФЗ-139.
5.Обучение персонала школы
И, наконец, финальные штрихи – гимназия № 8 получила возможность пользоваться приоритетной технической поддержкой. Также мы провели обучение работе с программным обеспечением для системного администратора и технического персонала.
Заключение
По плану все, а в завершение, от себя хотелось бы подчеркнуть, что мы получили полезный опыт и поняли, что нам интересно развиваться в том числе в этом направлении и улучшать сетевую инфраструктуру в образовательных учреждениях. Вместе с гимназией мы выяснили, как на практике построить единую современную школьную сеть и привести её в соответствие с федеральным законодательством РФ.
И главное, на мой взгляд, делать, а не ждать пока придут и заставят.
P.S. Кстати, по статистике прошлого года, среди 56 тысяч школ выявлено 12 тысяч нарушений.
У кого есть конструктивная критика, советы как сделать лучше или кто-то знает школы, где нам будут рады – вэлком :)
Комментарии (79)
Malamut
21.04.2015 16:08+9Шлюз на Винде? Для школ? Вы что, серьёзно? Зачем наводнять сферу образование таким адом, когда есть десятки прекраснейших решений, гораздо лучше подходящих для поставленныйх целей, бесплатных, и что самое главное для образования — не привязанных к продуктам M$? Не зря упомянут роскомнадзор в начале — по бредовости вы явно решили его переплюнуть. MS Server для управления трафиком — это надо было много выкурить специфических веществ. Пиарить глупейшие с технической точки зрения продукты, впаривая их детям — немного не хорошо, не находите? Может, кому-то и нужен сетевой сервер на винде. Это их проблемы. Но чем школы-то провинились?
raid
21.04.2015 16:35+1Ваш комментарий явно перенасыщен вескими и обоснованными аргументами
Malamut
21.04.2015 17:03+2А они что, нужны? Вы не верите, что, скажем, на базе любого серверного линукса можно только с использованием СПО элементарно собрать типовое решение для доступа в сеть для школ? Вы не верите, что в никсах гораздо больше возможностей для управления сетью, и вообще, сеть конфигурируется значительно лучше на любом уровне? Да и вообще — коммерческий софт в школах, равно как и вообще в образовании, можно использовать только в самом крайнем случае. Это явно не он. Интересно, винда-то хоть бесплатная в этом решении, или школам приходится платить за MS Server, который им ну вообще ни с какого боку не нужен? Как-то в статье вообще ни слова о технической части (хотя бы — чем это лучше СПОшных бесплатных аналогов) и том, сколько стоит сам сервер. На никсах он бы стоил, если брать с запасом по железу — ну тысяч 40 для нужд школы. Можно вообще взять прям сервер какой-нибудь в MidTower, будет дороже, но со всякими IPMI зато. Плюс свитчики D-link (фу-фу, ну да ладно), сколько они там — 8 тыщ штука? Витуха, шкафы — ну ок, ещё сколько-то, пусть 50000. Итого чуть больше 100000, пусть будет 150000. Установка-наладка — ну пусть у нас харя ого-го-го — 100000. 250к итого. Вообще не сходится. Может, там таки есть лицензия на винду? Не, вот реально — смету бы посмотреть подробную, очень интересно нельзя ли сэкономить и купить деткам что-нибудь более полезное.
Lopar
22.04.2015 14:24-3И потом платить штуку баксов в месяц системному администратору, который будет следить за тем, как дешёвое, опенсорсное приложение, на котором сэкономлено несколько десятков тысяч рублей. Линукс удобен для специалистов. И у него какие-то вечные проблемы с адекватными GUI.
n1nj4p0w3r
22.04.2015 16:17Всегда удивляли комментарии про гуй на серверах, зачем шлюзу гуй? Что-б любой дилетант мог свои шаловливые ручки запустить и напортачить? Ну и как-бы эту систему тоже должен кто-то обслуживать и «непрофессионал» вряд-ли будет вдумчиво просматривать логи в поисках причины неких проблем.
Ну и 1000$ это 53339 рублей по нынешнему курсу, а те-же habrahabr.ru/company/centosadmin/profile за сервер 7тыс. просят.Lopar
22.04.2015 16:46-2Консоль и скрипты не созданы для мониторинга. Они созданы для ускорения/автоматизации. Времена, когда любой школьник через GUI мог получить чуть ли не root удалённо давным давно канули в лету и являются страшилками со времён «когда компьютеры были большими, а консоли зелёными».
Непрофессионал может глянуть в монитор и увидеть красиво, простыми картинками оформленный отчёт о текущем состоянии сети. Вплоть до мелочей вроде: что пингуется что нет, где трафик ходит где нет, посмотреть на красивые таблички потребления трафика, или на красивые диаграммы каких-то там других отчётов. И всё будет доступно, снабжено справкой, всплывающими подсказками и прочей удобной мишурой.
А консоль? А учитывая что каждый гик делает вывод информации как удобно строго ему, порой так, что другой гик не разберётся не перенастроив под себя? А монструозные маны, когда надо найти описание маленькой опции в команде?
И, кстати, когда это мы скатились с обсуждения сервера до сетевого шлюза? Или в данной конструкции сервер исполняет задачи голого шлюза и точка? Тогда половина поста автора теряет смысл, вообще.n1nj4p0w3r
22.04.2015 17:31+2Не созданы, да. Для мониторинга есть множество открытых проектов, которые так-же никто не мешает установить.
Вы так и не ответили на вопрос: кто будет сопровождать данную систему и за какие деньги?
Что поймет непрофессионал, когда увидит в красивом интерфейсе, что в одном из сегментов локальной сети трафик ходить перестал и что он будет делать?
К слову, среди заявленных функций, мониторинг сети я не нашел, вы уверены, что ваше описание юзкейса уместно?
То есть, под виндой все можно конфигурировать без мануалов? Как человек который чаще всего именно с WS работает не соглашусь, даже частично. Про визуализацию мониторинга я ответил в начале, добавлю еще одно слово: zabbix.
А чем по вашему данный продукт является? И как это связано с «половиной поста», где о функционале продукта пара строчек текста и те рассказывают о лицензии, сертификате фстэк и соответствию законам?
maledog
22.04.2015 17:34+2Непрофессионал может глянуть в монитор и увидеть красиво, простыми картинками оформленный отчёт о текущем состоянии сети
И что ваш непрофессионал дальше с этим будет делать? 1С вон писался чтобы простой непрофессионал-бухгалтер мог сам сделать отчет, однако же приходится держать профессионалов.Lopar
23.04.2015 15:00Окей. Покажите мне хоть одну школу, которая находится на гос-обеспечении, и которая сможет выбить у минобразования разрешение на новую вакансию айтишника, причём с достаточно актуальной ЗП. Если есть места, где это — не проблема, я чертовски завидую таким местам.
maledog
23.04.2015 17:22А если непрофессионал все равно не знает что делать с красивым интерфейсом, то может этот интерфейс и не нужен вовсе? По крайней мере в школе. Насколько я знаю по сельской местности, по крайней мере одна вакансия айтишника в районном отделе образования есть. Уж обслуживание интернет-шлюза ему можно доверить? Тем более, что и обслуживать этот шлюз нужно не так уж часто. У меня несколько удаленных филиалов сидят на pfSense. Интерфейс нормальный, статистики предостаточно. Случаи, когда потребовалось бы выезжать на место единичные.
Lopar
23.04.2015 19:33Ну так там же написано «обучение персонала школы». Гуи позволяют действовать по принципу: загорелась эта лампочка — делай как написано в пункте А, загорелась эта — как в пункте Б. Горяд обе — ничего не трогай,
БЕГИ!зови специалиста. И эти лампочки можно вывести куда угодно. Лепота. Консоль… не то.
Кстати, товарищи. Это спор «GUI vs console», всё таки, нет? Я читаю про примеры с вебмордами. Но ведь вебморды — это тоже gui, нет?
Alex_ko Автор
21.04.2015 16:45+1Уважаемый Malamut, ад – это то, что сейчас происходит с интернетизацией образовательных учреждений. Мы обошли не один десяток школ и знаем, как обстоят дела. Назовите хоть одно российское решение — «прекраснейшие решений, гораздо лучше подходящее для поставленных целей» и еще и бесплатное? И где школам взять специалистов, способных администрировать эти чудесные решения. А мы предложили способ, который реально работает в условиях школы, решает все проблемы, снимает головную боль с администрации и может являться стандартом. Внедрите свое комплексное решение на базе Linux и мы с удовольствием обменяемся опытом.
webkumo
21.04.2015 17:03+2Вообще-то вопрос «где школам взять специалистов, способных администрировать эти чудесные решения» относится к вашему решению ровно в той же мере — спецов у школ просто нет.
Smart_Soft
23.04.2015 12:41Мы провели обучение системного администратора по работе с ПО, так же школа получила персонального технического специалиста по сопровождению данного проекта.
webkumo
23.04.2015 14:48И сколько это стоит денег и какие школы могут себе позволить иметь в штате системного администратора (вам повезло с гиманазией, в обычных школах я ставки сисадмина не помню, а ставка лаборанта — просто смешная)?
infotv
23.04.2015 18:08У нас в городе из 20 школ шесть имеет в штате сисадмина или зам директора пр ИКТ (в т. ч. исполняющие обязанности сисадмина). Получают люди от 25 до 45 т. р. (для нашего города неплохо, районный центр)
webkumo
23.04.2015 19:50Не уж то за последние года ситуация начала выправляться? Я, к сожалению, обладаю несколько устаревшими (на пару-тройку лет) данными…
AlNinyo
24.04.2015 23:25У нас в школе около 70 компов, 2 «сервера», сайт. Ставки сисадмина не наблюдается. За сопровождение всего этого хозяйства я ПОЛУЧАЛ окло 5-7 тысяч в виде доплаты к з/п. С 1 июня все эти доплаты урезаются, т.к. у школы просто нет денег от слова совсем (денег реально нет, а не администрация козлится и хочет халявы!). Про сисадмина (официального) знаю только в нашем педагогическом комплексе (это типа Илитное объединение двух, кажется, школ). В обычной школе сисадминов не встречал. У нас областной центр, если что.
Malamut
21.04.2015 17:22Казалось бы — это ничуть не делает костыль менее костыльным. То, что образованием, равно как и всем остальным, у нас руководят клинические идиоты, разваливающие и разворовывающие всё, к чему прикасаются, никак не относится к идеологической и технической части. Коммерческий софт в школах — это ужасно. Шлюзы на винде — в общем случае тоже. Я много знаю про школы и чем дальше, тем больше мне хочется, чтоб мои дети учились не в этой стране. Я придерживаюсь принципа — либо хорошо, либо никак. Шлюз на винде в школе — ну ни разу не хорошо. То, что нет ничего другого — см. чуть выше. Печально, но быть может оно развалится поскорее, если его не костылить? И кстати, школам не нужно нигде брать специалистов. Обслуживанием инфраструктуры вполне могла бы заниматься, например, какая-нибудь специальная фирма на аутсорсе, работающая сразу на сеть район/город. Стоило бы копейки, ибо делать там нечего. Но рашка, да. У нас и информатике учат преимущественно те, кто с трудом вспоминает, что значит reset. Они же по совместительству обслуживают компы. Что теперь, под них что ль постраиваться, чтоб им работать было проще?
P.S. Несколько раз работал в таких вот школах, куда одни пропихнули одно, другие — другое. В итоге зоопарк какого-то оборудования, большинство из которого тупо просто не работает. Попилили денюжку и ладно, а что дети, на детей-то всем плевать.webkumo
21.04.2015 18:08Таки да — как минимум некоторые школы находятся на «подписке» по обслуживанию, которую платит гороно… или так было какой-то период несколько лет назад (в той школе, в которой я учился)… что там сейчас — я не очень в курсе.
infotv
22.04.2015 19:26По поводу непрофессионального руководства в школах в части IT — подтверждаю полностью. Буквально пару недель назад доблестный Ростелеком закончил монтаж сети (оптика в школу и коммутатор + сеть в 13 аудиторий для трансляции ЕГЭ), несмотря на то, что и сеть и серверы в школе во всех аудиториях уже существует. Достаточно было прислать в школу технические требования и я бы перенастроил NAT на сервере. Но нет, чиновники от образования не ищут рациональных решений, они истратил сотни тысяч рублей там. где это просто не надо. В масштабах нашего города (6 пунктов приема ЕГЭ) это пара миллионов. На вопрос к директору — а зачем, в ответ слышу только «нам приказали».
Третий год работаю в школе, а до сих пор привыкнуть к этому не могу.
AEP
21.04.2015 18:45В статье не хватает самого главного — ссылок на акты, подтверждающие успешное прохождение прокурорских и иных проверок школами.
teecat
21.04.2015 21:06ага. за рамками статьи осталось самое интересное — как выполнялись федеральные законы. ибо в том виде, в котором они написаны — они не выполнимы никак. зная практику прокурорских проверок (скажем в том же Ижевске, Ивановской области...) — сложно поверить в наличие доступа в интернет у сети, в которой соблюдаются все эти законы
Spewow
21.04.2015 19:02Кстати, а что нет специального днс «для школы» для фильтрации ненужного?
Самое очевидное же решение.
Если компов мало в школе, тогда любая arm коробочка подойдет. Только левые днс зафильтровать.teecat
30.04.2015 09:59Есть. Даже на сайте Минобра рекомендованный висит. Но вот беда. Выполнить требования 436-ФЗ ни одно программное решение не в силах
Ivan_83
21.04.2015 19:21+3«В силу экономической целесообразности и распространенности, в качестве технологии локальной сети выбрали проводной Gigabit Ethernet.»
и
«D-Link DES-1210-28»
Не сочетается!
У это коммутатора всего несколько гигабитных портов, типа для магистралей.
www.dlink.ru/ru/products/1/1301_b.html
«Далее решили использовать иерархическую топологию сети как вытекающую из особенностей самой технологии Ethernet»
Ничего там не вытекает!
За провода и управляемые коммутаторы — молодцы, ящики не очень смотрятся, за венду — выговор.
Про гигабит в сотошном коммутаторе упоминать не стоило :)
veam
22.04.2015 20:39И что получилось в результате, остался доступен только сайт школы и гугл?
Smart_Soft
23.04.2015 11:33Фильтрация настроена по следующей схеме:
Для школьников в компьютерном классе запрещено все, кроме того что необходимо по учебной программе.
Для учителей и администрации школы разрешено все, кроме того что запрещено по законодательству РФ.
В обще доступной части Wi-Fi разрешено все, кроме того что запрещено по законодательству РФ и трафик ограничен по скорости.AlNinyo
24.04.2015 23:19Для школьников в компьютерном классе запрещено все, кроме того что необходимо по учебной программе.
Вы прошерстили ВЕСЬ интернет и внесли в этот список абсолютно все сайты с полезной информацией, которая может понадобиться ученикам при подготовке докладов, например? А как быть с новыми сайтами, на которых может оказаться гора полезной информации?Smart_Soft
27.04.2015 10:10Для этого есть плагин контентной фильтрации NetPolice для Traffic Inspector.
AlNinyo
27.04.2015 17:50Посмотрел я цены на TI. Спасибо, но Ideco ICS при равном количестве клиентов как-то подешевле выходит. Во всяком случае, если сравнивать опубликованные на сайте цены. Для нашей школы разница в 4к довольно существенная.
Smart_Soft
28.04.2015 08:12Для школ у нас действует специальная цена — скидка 70% на безлимитную версию программы — www.smart-soft.ru/ru/buy/special-price.
teecat
30.04.2015 10:04не наезжая на вас совершенно, просто вопрос к компании, которая занимается этим профессионально — интересно, как можно выполнить скажем запрет:
2) ненатуралистические изображение или описание несчастного случая, аварии, катастрофы либо ненасильственной смерти без демонстрации их последствий, которые могут вызывать у детей страх, ужас или панику
Или как на лету выполнить
• содержащая оправданные ее жанром и (или) сюжетом эпизодические ненатуралистические изображение или описание физического и (или) психического насилия (за исключением сексуального насилия) при условии торжества добра над злом и выражения сострадания к жертве насилия и (или) осуждения насилия).
Как в начале показа определить, что зло нагло замочат?
McGoblin
23.04.2015 08:00Доброго времени суток.
Работаю приходящим сисадмином в техникуме.Сейчас, раньше и всегда главной проблемой учреждения был бюджет.
Когда встал вопрос о фильтрации интернета, в виду ограниченности средств, решил вопрос фильтрации через UserGate (благо его в свое время купили, когда государство давало деньги на лицензирование).
Детишкам предоставлен доступ только к тем сайтам, которые требуются для образовательных целей + есть 4 машины с более расширенным доступом в глобальную сеть (для подготовки семинаров, олимпиад и прочего такого). За которыми они работают под «строгим» надзором преподавателя.
institor
23.04.2015 08:44+1Это — не интернет.
Win32Sector
23.04.2015 09:48-3Да, не хватает материалов по темам порнографии, терроризма, насилия, что там еще модно?
Smart_Soft
23.04.2015 10:47Когда мы пришли в школу, сеть была в сплошных «дырах». Школа точно также купила в свое время Traffic Inspector, админ поставил его и забил. Но проблема в том, что не достаточно просто поставить какой-то программный продукт на шлюз или на пользовательскую машину. В статье мы описали полный путь информатизации школы. Не для кого не секрет, что продукту, который один раз поставили для галочки и потом боялись трогать даже семиметровой палкой — грош цена. В данном случае мы решали более глобальную задачу — не просто реализовать фильтрацию на конкретных машинах, но и провести информатизацию всей школы, а данной статьей пытались передать другим специалистам свой успешный опыт. Когда школе понадобится именно Linux решение мы именно так и сделаем (кстати разработки в данном направлении уже ведутся).
darkultro
23.04.2015 10:33Ну, а что тогда интернет? У меня в школе сделано так — белый список (порядка 2000+) российских образовательных порталов и т.п… Черный список для запрещенных сайтов. Список запрещенных слов и словосочетаний на русском языке (белый список по ним не проверяется и доступен всегда). Блокирование всех соцсетей. DNS от Яндекса от порнографии (спасибо им огромное). И все это на Linux, что полностью бесплатно. И, пожалуй, главное — это работает, и интернетом, в образовательных целях конечно, можно пользоваться.
upd: отвечал в ветку выше.maledog
23.04.2015 17:30Еще встречал такую практику: Все задачи по фильтрации трафика берет на себя провайдер(одна известная госкорпорация), а у школы просто роутер с dhcp.
teecat
30.04.2015 10:11Распространенная практика, но не уверен, что закон одобряет. 436-ФЗ:
Доступ к информации, распространяемой посредством информационно-телекоммуникационных сетей, в том числе сети «Интернет», в местах, доступных для детей, предоставляется лицом, организующим доступ к сети «Интернет» в таких местах (за исключением операторов связи, оказывающих эти услуги связи на основании договоров об оказании услуг связи, заключенных в письменной форме),
Провайдеров вынесли за список. Видимо в свое время решили на них не давить, а кто подумал, что Ростелеком возьмется за это?
Вообще формулировка мутная до нельзя
infotv
23.04.2015 20:45Одним из требований к коммутаторам стала поддержка технологии VLAN, т.к. планировалось разделение доступа для разных категорий пользователей (гостей школы, учебных компьютеров и администрации)
А здесь вот не понял. А чем не устраивает связка AD+Traffic Inspector (c Windows аутентификацией). В этом случае можно использовать одни и те-же компьютеры и с правами «учитель», и с правами «ученик». Пример — компьютерный класс, все компы через Autologon грузятся с правами «ученик», но когда нужно приходит педагог, грузится под своей учеткой в домене и работает с правами «Учитель». А с VLAN такое возможно? На хрена такой огород?Smart_Soft
27.04.2015 10:14Такой подход тоже имеет право на жизнь, но тогда тяжелее ограничить гостевой Wi-Fi.
infotv
27.04.2015 10:55А он нужен?
Для мобильных устройств учащихся — свободный WiFi (авторизация на точке доступа без пароля), но точка доступа авторизуется в TI и фильтруется по белым спискам (у нас разрешен только Google Classroom и еще несколько сайтов). А далее для работы в Google Apps for Education — там индивидуальные разрешения, выдаваемое администратором на каждый аккаунт.Smart_Soft
27.04.2015 11:24Для мобильных устройств учащихся — свободный WiFi (авторизация на точке доступа без пароля), но точка доступа авторизуется в TI и фильтруется по белым спискам
Именно так и сделано, только фильтрация по черному списку.
A VLAN нужен, что бы ученики и гости не имели доступ к внутреннему файловому серверу на котором хранятся документы.infotv
27.04.2015 12:50а AD тогда на что? AD прекрасно ограничивает доступ к внутренним сетевым ресурсам. А вот то, что компы оказываются жестко «специализированными» под определенные права, это огромный минус вашего решения
Smart_Soft
27.04.2015 14:07Первоначально, мы так и планировали, но от использования AD пришлось отказаться, так как у школы, в компьютерном классе, были установлены компьютеры с лицензиями Windows 7 Home Basic.
sluge
24.04.2015 14:10Откуда взялась такая огромная сумма 380 тыс? И самое главное-как школа на такое согласилась? Насколько я знаю, бюджеты большинства школ на такие задачи в разы меньше!
AlNinyo
24.04.2015 23:11Раз пошла такая пьянка, расскажу, как я реализовал это в своей школе. Сразу оговорюсь — я эникейщик, а не труёвый админ! И вообще, сейчас я учитель, хоть и «тащу» всю школьную технику на себе, включая сайт.
Для понимания ситуации пара слов о школе: окраина города, 500 учеников, около 70 компов (сеть: провода + Wi-Fi), длиииинное здание из двух частей 2-х и 3-х этажей. Интернет — адсл (да, такое ещё живёт), аж в 8 мб/с. Есть «сервер» с сетевыми папками и электронным журналом. Сетка: простая рабочая группа без AD и прочих извратов. На ученических компах 2 учётки (обычная — ученик, админская — учитель), на учительских одна с правами админа (понимаю, что не это не есть хорошо, но иначе я задолбался бы бегать по кабинетам). Может за лето придумаю, как всё организовать получше и правильнее с точки зрения безопасности (надоело удалять всякие торренты с учительских компов).
В школу я вернулся в августе 2013. Сначала попробовал поставить на сервере TMeter. Помучился пару месяцев и понял, что не то. По старой работе сисадмином-эникейщиком был опыт работы с Ideco ICS. Посмотрел, посчитал, поговорил с администрацией. В результате уже больше года у нас стоит второй сервер, на котором крутится шлюз Ideco ICS и подключено SkyDNS с тарифом «Школа». По деньгам это вышло около 30 тысяч за год («сервер» у нас уже был). Год прошёл, денег на продление подписки нет (надо около 30к, но это с учётом увеличения количества пользователей шлюза с 75 до 100). Поэтому на SkyDNS нас переключили на бесплатный тариф (меньше возможностей каких-то, но мы особо не заметили). С Ideco это вылилось в невозможность обновления шлюза, что нам, пока, не критично.
Год использования показал, что такое решение вполне себе замечательно нам подходит. Учителя со своих компов ходят в интернет практически без ограничений (закрыты только всякие ресурсы для взрослых и откровенный кошмар), ученические компы ходят через жуткий фильтр, который на лету может настраиваться. Пример: захожу в кабинет к жене (информатику ведёт, я — физику) и вижу «деток», шпарящих в какую-то флеш-стрелялку. Захожу в админку шлюза, смотрю по этим компам, где же они тусят, заношу адрес в чОрный список — через несколько секунд (при очередном запросе к серверу игры) игры прекращаются. Понятно, что ВСЁ не заблокируешь. Но лучше, имхо, блокировать выборочно, чем выборочно разрешать.
Youtube у нас тоже большую часть времени закрыт с ученических компов, но, по запросу учителя, за несколько кликов мышкой он открывается и дети могут с ним работать по заданию учителя. После урока блокировка включается обратно и все в шоколаде.
Из проблем столкнулись с непоняткой: у нас Wi-Fi обеспечивают 3 точки UniFi AP (только не помню, Pro или нет) — www.ubnt.su/ubiquiti/unifi.htm. И вот столкнулись мы с тем, что по wi-fi очень плохо работают всякие смартфоны и прочие планшеты. Если не прописать в них ip вручную, то получить адрес по dhcp они не могут. Если адрес вручную прописать, то интернет на устройстве появляется, но дико тупой и медленный. При этом ноутбуки с такой проблемой не сталкиваются, так же как и стационарники с wi-fi антеной (не везде провода протянуты, к сожалению). В чём беда — в шлюзе или в точках доступа, пока не разобрались.
Итого затраты за год: около 30к на софт + 7,5к на точки доступа = меньше 40к. На следующий год уже будет 30к и т.д.
Bessome
25.04.2015 18:07+1Кстати про WiFi со смартов, прочитав Ваш коммент поехал к родителям. Там хотел зацепиться к WiFi: есть сеть, но не пускает, так же IP не получаю. Оказалось что в роутере какой-то «несовместимый» wifi-n. Оставил b+g — заработало.
AlNinyo
25.04.2015 18:21Хм. Спасибо. В понедельник попробую посмотреть в школе, что там за режим настроен.
AlNinyo
24.04.2015 23:15UPD: совсем забыл. При всё при этом, дети свободно шарятся по ВК и прочим соцсетям в школе, Не потому, что я криворукий и что-то не закрыл, а просто потому, что я не могу отключить их мобильный интернет! И плевать они хотели в такой ситуации на все наши блокировки!
infotv
25.04.2015 08:41Но ведь шарятся они не через школьную сеть, тут уже ничего не поделать (кстати, это очень хорошо).
У меня есть такой случай: один очень дружный класс скинулся на безлимитный мобильный тариф, и с отдельного старого мобильника раздают интернет в своем классе. Все время этот «мобильный сервер» таскают с собой по кабинетам. Во такой хай-тек колхоз.
По поводу вашего способа фильтрации — у нас бы такое прокуратура не допустила
А как с лицензированием ОС у вас? На компах что: винда или линукс? Если винда, то какие лицензии?
AlNinyo
25.04.2015 17:38Шарятся не через школьную, да. Поэтому я спокоен и не дёргаюсь. В школьной сети всё это закрыто.
С лицензированием всё просто: на старых компах ОСь (Win XP) установлена из комплекта «Первая помощь» уже давно, новые компы изначально приходят с ОСью (OEM Win 8). Единственное, что приходится в них делать, так это даунгрейдить с Win 8 Pro до Win 7 Pro. С Линуксом у нас как-то не сложилось. Никто с ним работать не умеет и не стремится. Я дома пару раз ставил на тестовом компе Убунты всякие (типа для школ которые), смотрел их пару дней и сносил :)infotv
25.04.2015 19:06на старых компах ОСь (Win XP) установлена из комплекта «Первая помощь»
Срок лицензии на эти ОС окончились в 2011 году (подробно здесь)
Единственное, что приходится в них делать, так это даунгрейдить с Win 8 Pro до Win 7 Pro
ОЕМ приходит с Win Pro? Так бывает? А зачем вам Pro, если домена нет?AlNinyo
25.04.2015 19:17Срок лицензии на эти ОС окончились в 2011 году (подробно здесь)
Угу. Только что вы мне предлагаете? Снести эти винды? Купить новые? Купить новые компы с новыми виндами? :) У нас денег нет ни на один из вариантов, кроме полного сноса винды. Но тогда половина школы останется без компов. Пока не трогают за это — пусть работает. Скажут «сноси» — снесу :)
ОЕМ приходит с Win Pro? Так бывает? А зачем вам Pro, если домена нет?
Может я чего путаю и там не ОЕМ, но смысл вот в чём: к нам в школу иногда приходят компы по поставкам от Управления образования. На них есть наклейки и стоит винда. В последней поставке там были Win 8 Pro, которые я даунгрейдил до Win 7 Pro просто потому, что нам нужна была 7-ка, а по лицензии я Про могу поменять на Про, если я правильно понял объяснения мелкомягких.
С этим даунгрейдом, кстати, тоже весело. На наклейках просто написано Win 8 Pro. Никаких ключей нет. Я без задней мысли ставлю Win 7 с полным форматом диска, звоню активировать, а у меня начинают спрашивать ключ от Win 8. Объясняю ситуацию, мне говорят «ладно, давай ключ от Win 7». Таким макаром активирую около 10 компов. Некоторое время спустя руки доходят до ещё одного компа. Делаю всё то же самое, звоню… Мелкомягкий парень-консультант (до этого были девушки) упирается рогом и требует ключ от Win 8. Объясняю ситуацию. В ответ получаю предложение снова поставить Win 8, вынуть оттуда ключ, установить Win 7 и потом уже звонить ему… После этого разговора приличных слов я долго не мог вспомнить :)infotv
25.04.2015 19:36Когда придут из прокуратуры с проверкой, то первым делом спросят: Кто тут у вас главный по компам? Директор очень быстро укажет на вас (поскольку доплату за администрирование компов вы получали). Далее это следоатель придет к вам и спросит: а почему вы закон нарушаете?
Памятку как вести себя на допросах для айтишника сами нагуглите? Очень полезный документ, между прочим.
Я бы на вашем месте сделал следующее:
- Восстановите на компах те ОС, которые были на компах при покупке (никаких самовольных апгрейдов)
- Под страхом установления Линукса на компах, за которыми работают в школе директор, секретарь и прочая администрация требуйте выделение денег на лицензирование. Очень советую заключить договор с майкросфтом по программе CASA K-12. Это по 350 рублей в год на комп. Приобретете право для использования Win и MSOffice на всех компах в школе
В общем я бы это не запускал, речь идет об уголовной ответственности для вас
Или принудительно для всех Линукс. Кстати, очень даже и неплохо с ним работать, зря пугаетесьAlNinyo
25.04.2015 19:50Я всё это знаю, поверьте. И так же я знаю, что нам просто неоткуда взять деньги на всё это. 350 р/год на 1 комп при 70+ компах в школе — это больше 20к в год, которых у школы просто нет. Финансирование урезают со страшной силой, все доплаты снимают (с июня с меня снимут, в том числе, доплаты за обслуживание компов и сайта, после чего моя з/п вместо 19-20к станет 12к). Администрация в курсе ситуации, я в курсе (в общих чертах) ситуации финансовой. Так что, пока, всё будет продолжаться так же :)
infotv
25.04.2015 19:56Вы знаете, я в этой системе работаю четыре года. Я точно знаю, что на цветы (для всяких мероприятий) в вашем управлении образования тратят денег больше, чем вам нужно для приведения лицензий на ПО в порядок во всех школах. И как правило. расходы на ПО прописываются отдельной строкой в бюджете.
Так что, с большой вероятностью, вам лукавят, когда говорят что денег на ПО нет. Они есть, но до школы не доходят.AlNinyo
25.04.2015 20:04Я уверен, что «где-то там» деньги есть на всё. Проблема в том, что В ШКОЛЕ денег нет. И с управление образования бодаться бесполезно, что мне, что директору нашему. Нас и так нигде не любят за то, что мы вечно чего-то требуем, чего-то делаем, чего-то добиваемся…
infotv
25.04.2015 20:14Отчасти вы правы. Однако, важна правильная мотивация руководства.
Пример:
25 декабря 2015 года. Кто-то забыл заложить и заплатить 45 тыров для продления CASA K-12 на 130 компов в нашей школе. Пишу служебную записку, что с 1 января начинается переход на Linux (в связи с забывчивостью) и вежливо прошу переместить пользовательские данные на сервер, поскольку с 1 января все аккаунты будут заблокированы и начнется плановая замена ОС.
Поскольку народ ненавидит Линукс (не знаю, за что) были подняты все мыслимые и немыслимые связи и резервы, и в последний день деньги были перечислены.
Для того, кто знает, что такое конец финансового года в бюджетном учреждении. станет понятен подвиг бухгалтеров.AlNinyo
25.04.2015 20:17Это хорошо прокатывает в большой организации, где очень формальные отношения между администрацией и работниками. У меня с администрацией более близкие отношения и я, во-первых, не хочу такую подлянку своей администрации делать, потому что, во-вторых, знаю, чем это всё закончится :) Нам придётся переходить на Линукс, а значит я должен буду в школе поселиться безвылазно ещё на пару месяцев (для перенастройки всего что есть).
infotv
25.04.2015 20:28Нет, ну надо-же: потребовать от директора выполнения его служебных обязанностей — это подлянка, а под УК подставляться готовы. Это его обязанность — обеспечить школу всем необходимым, в том числе ПО.
По поводу перехода все тоже организуется просто — множество способов как сделать эффективно. Я юзаю Clonzilla — скорость установки примерно 14 компов в день по сети (вместе с созданием эталонного инсталлятора с двумя ОС).AlNinyo
25.04.2015 20:53Представьте ситуацию: у вашей мамы нет денег. Точнее, есть, но только на хлеб. Работает ваша мама на сволочь, которая денег даёт иногда и очень мало, хоть и работает ваша мама очень много. А вам ну очень надо купить машинку. Ну прямо вот очень надо! И вы, такой весь из себя умный и начитанный, приходите к маме со словами: «Или купи машинку, или я пишу заявление, что ты со мной плохо обращаешься и тебя лишат родительских прав!» В результате ваша мама должна либо украсть деньги/машинку, либо идти на поклон к сволочи-начальнику (результат представите?), либо… Вот у нас в школе примерно такая же ситуация. Поэтому я не требую себе машинку, а терпеливо жду, когда же начальник у мамы станет человеком или когда же я смогу пойти и сломать ему руки/ноги и не сесть за это :)
infotv
25.04.2015 21:11Аналогия неуместна и не корректна.
Совсем.
Я еще знаю, что красть нехорошо.
Всегда.
webkumo
26.04.2015 02:06Вы, я не знаю, как не в бюрократическом государстве живёте!
Пишете объяснительную «лицензии на ОСи просрочены, срочно дайте лицензии — иначе всем УК», идёте с ней к «маме», она пишет «гороно (или кто там у вас?) средств не выделяет», с этими двумя бумажками идёте в гороно и пишете заявление «срочно выделите денег, иначе все под суд пойдём» и прикладываете к нему объяснительную и ответ школы.
Если правильно оформить — все стрелки уйдут в гороно и средства будут выделены (и не надо никаким линуксом угрожать).
Spewow
25.04.2015 15:33Почему бы всю сетевую часть не строить из «коробок»? zuxel keentik так-же может skydns использовать, пыль не сосет, обслуживание минимальное.
AlNinyo
25.04.2015 17:451) Не стоит забывать, что сисадмина в школе нет, а я простой эникейщик и знаю чуть больше того, с чем приходилось работать. С Кинетиками этими не сталкивался ни разу, настраивать не пробовал, о возможностях не знаю. А с UniFi и Ideco работал. Поэтому и выбрал знакомое, в чём я уверен.
2) Напомню, опять же, что школа у нас длииииинная и провода протянуты не везде. Значит, таких коробок надо несколько, так? И как-то их объединять в одну сеть. Кроме того, у нас подключение АДСЛ, если вы забыли. Плюс цена этих коробок на 1к больше, чем у используемых нами UniFi точек.
3) SkyDNS не главное. Ideco ICS может разграничивать доступ различных пользователей к сети, резать скорость, использовать чОрные и белые списки сайтов, выдавать статистику кто/куда/когда/сколько ходил/скачал. Я не в курсе, умеет ли это Кинетик. Когда-то я немного работал с Mikrotik. Там тоже были списки пользователей и шейпер, но вот со статистикой посещений там беда…
Spewow
Шлюз то базируется на винде.
А как же импортозамещение и СПО в школах?
Alex_ko Автор
ПО – Traffic Inspector – российский продукт, железо от ГК Аквариус – российского производителя. Можно говорить все, что угодно, но более 70% школ имеют сеть под Windows, другого внедренного стандарта пока еще не нет.
Malamut
Во-первых, шлюз ну никаким боком не связан с самой сетью. Это обособленная единица и на ней должен стоять специализированный софт. Во вторых винда — это не стандарт, а признак полного бардака. Она стоит везде не потому, что так полезней для школьников, а потому что так проще и выгодней чиновникам и некомпетентным управленцам, коих к детям подпускать на пушечный выстрел нельзя.
Bessome
С одной стороны: 4 года назад у ребенка в школе обращались ко мне с целью подключить принтеры к Linux — дистрибутиву, который был «рекомендован» к установке. Админ, школьник 10 класс, и учитель (sic!) истории, которые админили школу, были в шоке, когда ставили сей рекомендованный продукт. Бубен стучал, дрова качал — принтер встал. И так порядка в 40 кабинетах с зоопарком принтеров. Вроде «админы» местные подтянулись.
С другой стороны: встал опенсорс, а что дальше делать с ним учитель не понимает, ибо помимо своего предмета и постоянных обязательных участий в различных школьных и городских мероприятиях у них есть дети-семья и мало свободного времени. Изучать некогда, а программа обязывает включить презенташку или учебное видео, которое не идет по опенсорсом. Снова дергают меня — папу первоклашки, благо школа дом и работа рядом. В итоге через два месяца школа напряглась, учителя получили «премию» и «купили» на нее ноутбуки с ОЕМ виндой, в которой можно тыкнуть и работает, а главное разбирается каждый школьник. А машины с опенсорсом стоят на «случай проверки».
А Вы говорите M$, OpenSource. Нужно давать людям то, что они хотят, иначе они сделают сами.
А шлюз для них я поднял на Debian, прописал правила firewall с добавлением в файл и загрузкой из файла заблокированных сайтов из соответствующего реестра и «безопасными» DNS-ами от одного из поисковиков в РФ.
Так что вопрос ставить необходимо так — нужно выполнить задачу, путь ее решения оставляем за исполнителем. И незачем холивары разводить.