![\framebox[\hsize]{\hfill \textbf{Umsetzung} \hfill}](img20.gif){kind=small}
Die meisten Schulen sind nicht mit Festverbindungen an das Internet verbunden, sondern wählen sich bei Bedarf über das Telefonnetz in das Internet ein. Bei diesem Vorgang wird i.d.R. dynamisch eine IP-Adresse aus einem großen IP-Pool des Internet-Dienstleisters zugeteilt. Ein so an das Internet angeschlossener Rechner ist zwar direkt von aussen erreichbar, allerdings kennt noch niemand seine Adresse: Ein Zugriff ist praktisch nur zufällig möglich -- oder demjenigen, der Zugriff auf die vergebenen IP-Adressen hat. Bei allen Zugriffen auf das Internet wird diese IP-Adresse nun propagiert und damit der Rechner bekannt, solange bis die Verbindung vom Dienstleister oder der Schule getrennt wird und bei der nächsten Einwahl eine neue IP-Adresse vergeben wird.
Dadurch ergibt sich aber zwangsläufig die Gefahr, unbeabsichtigt Opfer eines Angriffs zu werden: Der Angreifer vermutet hinter der IP-Adresse einen anderen Rechner, den er vielleicht Tage vorher ausgekundschaftet hat, ihm aber verborgen geblieben ist, dass die Adresse diesem Rechner nur temporär zugeordnet war.
Bei ordentlicher Einrichtung eines Namenssystems ist es für Anwender heute nicht mehr notwendig, IP-Adressen verschiedener Rechner oder Geräte zu kennen. Zwar lässt sich im Hause die Abfrage selbiger kaum verhindern, schließlich basiert ein TCP/IP-Netz auf eben diesen numerischen IP-Adressen, doch lässt sich aus Kenntnis der IP-Adressen häufig auf die Grob-Struktur eines Netzes zurückschließen. Um die Netzstruktur zu verbergen, sollte also auch die Informationspolitik bezüglich der Vergabe-Schemata von IP-Adressen restriktiv sein.
Neben dem Einsatz einer Firewall kann der direkte Zugriff von außen in das Schulnetz durch den ausschließlichen Einsatz von IP-Adressen aus den privaten Adressbereichen wirksam unterbunden werden. ,,Die Verwendung privater Adressen hat daher den Vorteil, ... dass sich das Risiko unzulässiger Zugriffe reduziert.``258 Private Adressen werden im Internet nicht geroutet, bzw. sind per definitionem nicht routefähig.259 Dabei ist zu beachten, dass die verwendeten Adressen aus dem privaten Adressbereich i.d.R. nur innerhalb des LANs eindeutig sind und insbesondere nicht an externe Nameserver propagiert werden.260 Um externe Dienste nutzen zu können, muss der Zugriff über ein Gateway erfolgen. Die Verwendung privater Adressen bietet darüber hinaus den Vorteil, dass strukturierte Adressierungsschemata im LAN flexibel umgesetzt werden können, ohne den insgesamt beschränkten Adressraum berücksichtigen zu müssen.
Wie die meisten anderen Schulen auch besitzt die REALSCHULE SPEICHER keine öffentliche IP-Adresse, sondern bezieht bei jeder Einwahl dynamisch eine Adresse für den Router. Im gesamten restlichen Schulnetz werden ausschließlich private nicht routefähige Adressen aus einem der 256 Klasse-C-Adressbereiche 192.168. genutzt, die den einzelnen Rechnern fest zugewiesen sind. Das Verwaltungsnetz nutzt den Bereich 192.168.1., das pädagogische Netz 192.168.0. Die meisten Dienste werden nur Rechnern mit bestimmten IP-Adressen angeboten.
Die Adressübersetzung geschieht also per NAT/PAT (streng genommen dem Spezialfall ,Masquerading`, einer Standard-Funktion des Linux-Kernels). Damit ist erst einmal nur der Router nach außen sichtbar. Einige weitere Details zu Adressumsetzung sind im Anhang C, S. [*] angegeben.
Der Server des pädagogischen Netzes hat bisher auch die Aufgabe des Routings zwischen Internet und Schulnetz übernommen. Diese Funktionalität wird jetzt vom pädagogischen Server abgetrennt und einem dedizierten, als Router eingesetzten Rechner übertragen. Damit verfügt der pädagogische Server von jetzt an nur noch über eine Netzschnittstelle, nämlich zum pädagogischen Netz.
