Handreiking externe connectiviteit
Ondersteuning voor ict-coördinatoren en inkopers in het primair onderwijs (po) en voortgezet onderwijs (vo)
Laat ict werken voor het onderwijs
Inhoudsopgave 1 Inleiding
› 1.1 Connectiviteit buiten de gebaande paden
4
› 1.2 Leeswijzer
4
2 Bandbreedte, kwaliteit en servicelevelafspraken
› 2.1 Bandbreedte › 2.1.1 Te maken keuzen › 2.1.2 Meten van de beschikbare bandbreedte › 2.2 Kwaliteitsaspecten van de connectiviteit › 2.2.1 Te maken keuzen › 2.2.2 Meten van de kwaliteit
7 9 9 10 11 11
› 2.3 Overige vereisten › 2.3.1 Modem/router › 2.3.2 In het geval van internetconnectiviteit › 2.3.3 In het geval van een besloten netwerk
11 11 12
› › › › ›
tussen schoollocaties 2.3.4 Router als wifi access point 2.3.5 Beheer 2.3.6 Vast(e) IP-adres(sen) 2.3.7 Domeinnaamregistratie en DNS 2.3.8 Beveiligingsdiensten
12 12 12 13 13 13
› 2.4 Servicelevelafspraken › 2.4.1 Te maken keuzen
15 16
Colofon
2
1
Inleiding
3
1 Inleiding Deze handreiking helpt scholen bij de keuze van externe (internet)connectiviteit. Het gaat dan ten eerste om de te kiezen bandbreedte, kwaliteit van de verbinding en de servicelevelafspraken. Ten tweede helpt deze handreiking u bij het formuleren van vereisten die direct samenhangen met de (internet)connectiviteit, zoals vaste IP-adressen en back-upconnectiviteit, die u in samenhang met de (internet)connectiviteit kunt inkopen bij een marktpartij. We houden daarbij rekening met de snel veranderende eisen door het groeiende gebruik van digitale leermid delen. Met behulp van deze handreiking kunt u uw eisen formuleren en daarmee kiezen uit het marktaanbod of aansluiten bij een eventueel lokaal initiatief voor de aanleg van bijvoorbeeld glasvezel. We beperken ons tot de momenteel meest gangbare diensten. Ook heeft deze handreiking alleen betrekking op externe (internet) connectiviteit. Voor uw interne – vaste en/of draadloze – netwerk stellen we een aparte handreiking beschikbaar. Verder beperken we ons tot de wensen en eisen die het mogelijk maken om onder wijs te ondersteunen met ict, waaronder het gebruik van digitale leermiddelen. Wensen en eisen die voortkomen uit de behoefte om leerlingen, leraren en ouders van wifi buiten schooltijd te voorzien, blijven bijvoorbeeld buiten beschouwing.
1.1 Connectiviteit buiten de gebaande paden Bij bijna de helft van alle schoollocaties in Nederland ligt glasvezel voor de deur of is glasvezel al in gebruik. Bij nog eens circa 45 procent van de schoollocaties ligt er wel kabel, maar geen glasvezel voor de deur. Waar kabel beschikbaar is, voldoet die in bijna alle gevallen om onderwijs ondersteund met ict te geven. Hoort uw school bij de circa 5 procent van de schoollocaties die geen toegang heeft tot glasvezel of kabel, dan biedt dit document inzicht in de mogelijkheden om aan te sluiten bij een eventueel lokaal initiatief om glasvezel aan te leggen en in de alternatieve mogelijkheden voor connectiviteit.
1.2 Leeswijzer In de volgende paragrafen zetten we de keuzen uiteen die u kunt maken bij de inkoop van (internet)connectiviteit. We maken onderscheid tussen bandbreedte, kwaliteitsaspecten, servicelevel afspraken en overige vereisten. Daarbij geven we steeds ons advies aan. In de blauwe kaders geven we voor u relevante aspecten in het aanbod van marktpartijen aan.
4
2
Bandbreedte, kwaliteit en servicelevelafspraken 5
2 Bandbreedte, kwaliteit en servicelevelafspraken De externe connectiviteit is een belangrijke schakel in de keten van onderwijs en ict. Bij het bepalen van de connectiviteit die op uw schoollocatie nodig is, moet u niet alleen rekening houden met de huidige behoefte of de behoefte in de zeer nabije toekomst. Om zich te kunnen aanpassen aan vernieuwende onderwijstechnologieën hebben scholen speelruimte en flexibiliteit in bandbreedte nodig.
We onderzochten, samen met onder andere uitgevers van digitaal leermateriaal en scholen, wat de benodigde bandbreedte is, wat de behoefte is op het gebied van kwaliteit en servicelevelafspraken en welke overige vereisten ingevuld moeten worden. In dit hoofdstuk zetten we de resultaten daarvan uiteen. Daarbij is rekening gehou den met het gebruik van digitale leermiddelen en het gebruik voor administratieve processen. Er is geen rekening gehouden met het privégebruik van leerlingen, ouders en medewerkers, dat mogelijk hogere eisen aan de benodigde bandbreedte stelt.
Internetconnectiviteit per schoollocatie, of een besloten netwerk met centrale internetbreak-out?
Internet
Schoollocaties met directe internetconnectiviteit
Internet
Schoollocaties met besloten netwerk en centrale internetbreak-out
Schoolbesturen die verantwoordelijk zijn voor een aantal schoollocaties, blijken regelmatig te kiezen voor een besloten netwerk tussen de schoollocaties die onder hun bestuur staan. Op dat netwerk worden veelal vanuit een centrale locatie diensten aangeboden, zoals applicaties en internettoegang. In dat geval is op de schoollocaties geen internetaansluiting nodig, maar een verbinding met het besloten netwerk. Waar dit onderscheid niet van belang is, gebruiken we in dit document de term ‘(internet)connectiviteit’. En waar dit onderscheid wel van belang is, geven we dit expliciet aan.
6
2.1 Bandbreedte We onderzochten wat de benodigde bandbreedte is voor de onder steuning van het gebruik van digitaal leermateriaal1. Kort gezegd schatten we dat in de huidige situatie een bandbreedte nodig is van 0,42 Mbps down/0,050 Mbps up per leerling met een device. De verwachting is dat dit binnen drie jaar groeit tot 0,83 Mbps down/0,12 Mbps up. De behoefte aan upload-bandbreedte stijgt iets sneller dan de behoefte aan download-bandbreedte. Mogelijk gebruiken niet alle leerlingen op uw schoollocatie tegelijker tijd een device, maar bijvoorbeeld één op de vijf leerlingen. Zouden alle duizend leerlingen op een schoollocatie tegelijk een device gebruiken, dan is naar verwachting (1.000 x 0,42 Mbps =) 420 Mbps download-bandbreedte nodig. Indien daarentegen één op de vijf leerlingen tegelijk een device gebruikt, is een vijfde daarvan nodig: (420 Mbps : 5 =) 84 Mbps.
Let op: Het gaat hier om daadwerkelijk beschikbare bandbreedte (zie kader ‘Verschil tussen geadverteerde en daadwerkelijk beschikbare bandbreedte’).
huidige situatie aantal leerlingen op schoollocatie
gelijktijdig gebruik
100
200
500
750
1.000
1.250
1.500
De tabel hiernaast toont het resultaat van het Kennisnet-onderzoek naar de benodigde bandbreedte om onderwijs ondersteund met ict te geven. De door een school benodigde bandbreedte per leerling op een schoollocatie ligt marginaal hoger voor schoollocaties met minder dan honderd leerlingen. 1 Bandbreedtewijzer Digitaal Leren, Utrecht: Dialogic NEXT STEP, 23 oktober 2015.
1.750
over 3 jaar
down
up
down
up
1:1
42
5
84
12
1:2
21
3
42
7
1:5
9
1
18
2
1:1
83
10
166
24
1:2
42
5
84
12
1:5
17
2
34
5
1:1
206
25
412
60
1:2
103
13
206
31
1:5
42
5
84
12
1:1
308
38
616
91
1:2
155
19
310
46
1:5
62
8
124
19
1:1
411
50
822
120
1:2
206
25
412
60
1:5
83
10
166
24
1:1
513
63
1.026
152
1:2
257
31
514
75
1:5
103
13
206
31
1:1
616
75
1.232
180
1:2
308
38
616
91
1:5
124
15
248
36
1:1
718
88
1.436
212
1:2
360
44
720
106
1:5
144
18
288
43
Zie vervolg van deze tabel op de volgende pagina.
7
huidige situatie aantal leerlingen op schoollocatie
gelijktijdig gebruik
2.000
2.250
2.500
2.750
3.000
Tabel 1.
over 3 jaar
down
up
down
up
1:1
820
100
1.640
241
1:2
411
50
822
120
1:5
165
20
330
48
1:1
923
113
1.846
272
1:2
462
56
924
135
1:5
185
23
370
55
1:1
1.025
125
2.050
301
1:2
513
63
1.026
152
1:5
206
25
412
60
1:1
1.128
138
2.255
331
1:2
564
69
1.129
167
1:5
227
28
453
66
1:1
1.230
150
2.460
361
1:2
616
76
1.231
182
1:5
247
30
494
27
Benodigde bandbreedte op een schoollocatie (in Mbps).
Advies Houd bij de inkoop van (internet)connectiviteit rekening met de groei in de benodigde bandbreedte voor de komende drie jaar. Het gaat dan om de groei in gelijktijdig gebruik van devices, de groei in de adoptie van digitaal materiaal en eventuele groei in leerlingaantallen.
Ter illustratie: een schoollocatie met vijfhonderd leerlingen waar momenteel één op de vijf leerlingen gelijktijdig een device gebruikt, zal hiertoe 42 Mbps down/5 Mbps up aan bandbreedte nodig hebben. Indien u verwacht dat op deze schoollocatie over drie jaar één op de twee leerlingen gelijktijdig een device gebruikt, zal te zijner tijd 206 Mbps down/31 Mbps up aan bandbreedte nodig zijn.
Verschil tussen geadverteerde en daadwerkelijk beschikbare bandbreedte Uitgangspunt is dat de bandbreedte in bovenstaande tabel daadwerkelijk wordt gebruikt. De bandbreedte dient dus ook daadwerkelijk beschikbaar te zijn. De bandbreedte die de aanbieder noemt, is veelal niet gegarandeerd. Dit geldt bijvoorbeeld voor ADSL en VDSL, waar de gereali seerde bandbreedte sterk afhangt van de afstand tussen de schoollocatie en het verdeelpunt van de aanbieder. Bij draad loze verbindingen spelen dekking en verschillende omgevings factoren een rol, zoals het aantal medegebruikers in de omgeving en de ligging van gebouwen tussen de zendmast en de schoollocatie. Daarnaast is er over het algemeen verschil tussen de op consumenten gerichte diensten en de op de zakelijke markt gerichte diensten. Bij diensten voor consumenten is het gebrui kelijk dat een aantal aansluitingen de beschikbare capaciteit in het netwerk moet delen, waardoor op drukke tijden de geadverteerde bandbreedte niet altijd beschikbaar is voor uw schoollocatie. Dit geldt bijvoorbeeld in het geval van kabel.
8
2.1.1 Te maken keuzen Kies bij de inkoop voor een flexibel en toekomstvast aanbod dat garandeert dat uw bandbreedtebehoefte over drie jaar daadwerkelijk geleverd kan worden – zonder (grote) additionele investeringen of omschakelkosten van uw kant.
Advies Stel zeker dat in de dienst die u afneemt de benodigde band breedte ook daadwerkelijk beschikbaar is en maak daarover afspraken met uw aanbieder.
We gaan ervan uit dat voor het merendeel van de po- en vo-scholen een bandbreedtegarantie niet noodzakelijk is. Wel is het zaak dat u van tevoren met de aanbieder vaststelt welke beschikbare band breedte u bij een specifieke dienst op uw schoollocatie redelijkerwijs mag verwachten. Is de benodigde bandbreedte cruciaal voor de effectiviteit van het onderwijs, dan adviseren we u wel een aanbod met bandbreedtegarantie te kiezen.
Advies Stel met uw internetprovider zeker dat alle protocollen (netwerk poorten) zijn toegestaan op uw schoollocatie, zonder verzoek van uw kant, en dat ze zonder enige belemmering tot en met de volledige beschikbare bandbreedte te gebruiken zijn.
2.1.2 Meten van de beschikbare bandbreedte U kunt zelf de beschikbare bandbreedte meten. Dit kan doorlopend met behulp van zogenoemde monitoringtools (toepassingen die een verbinding regelmatig geautomatiseerd controleren). Om de kwaliteitsaspecten te meten kunt u ook handmatig gebruikmaken van een toepassing op internet, zoals speedtest.operator.nl/kpn, www.ziggo.nl/speedtest en speedtest.vodafone.nl. Let op: het gaat dan om een momentopname, die bovendien slechts een indicatie geeft! Voor een zo direct en representatief mogelijk resultaat bij een handmatige meting mogen er geen andere toepassingen zijn die de verbinding tegelijkertijd gebruiken (geen andere beperkende schakels in de keten; dus niet meten vanaf een laptop met wifi!).
Zoals gezegd neemt de behoefte aan uploadbandbreedte naar verwachting sneller toe dan de behoefte aan downloadbandbreedte. Een verbinding met symmetrische bandbreedte is voorbereid op deze ontwikkeling.
9
2.2 Kwaliteitsaspecten van de connectiviteit Onderwijs ondersteund met ict stelt eisen aan de kwaliteit van de connectiviteit. Interactieve multimedia (zoals VoIP, Skype en Face Time) stellen de hoogste eisen. Multimedia die niet interactief zijn (zoals filmpjes op YouTube) stellen lagere eisen. Het gebruik van deze vormen van communicatie in het onderwijs is nog beperkt 2, maar zal de komende jaren wellicht toenemen, evenals de eisen aan de kwaliteit van de connectiviteit. Onderstaande tabel toont de kwaliteitseisen aan connectiviteit die het gebruik van interactieve multimedia ondersteunt. packet loss
latency (one-way)
jitter (one-way)
<1%
< 150 ms
< 30 ms
Packet loss – is het aantal datapakketjes dat in een verbinding verloren raakt. Vrijwel alle toepassingen blijven met een geringe packet loss nog naar behoren functioneren, bijvoorbeeld door een verloren datapakketje opnieuw te laten verzenden. Bij meer dan 1procent packet loss treedt zo veel verlies op dat het bij interactieve multimediale communicatie merkbaar wordt. Beeld of geluid hapert of de verbinding wordt feitelijk langzamer doordat datapakketjes meermaals verzonden moeten worden. Latency – is de tijd die nodig is om een datapakketje van een zender naar een ontvanger te brengen. Hogere latency heeft bijvoorbeeld tot gevolg dat gebruikers menen dat toepassingen traag reageren. Dat treedt vooral op bij meer dan 150 ms latency. 2 Wel wordt VoIP al volop naast internet over hetzelfde accessmedium gebruikt, waar tripleplay-pakketten worden gebruikt over kabel en glasvezel.
Jitter – is de variatie in latency. Hoe groter de jitter, hoe meer kans dat beeld of geluid hapert of dat toepassingen (onvoorspelbaar) traag reageren. Deze eisen aan de kwaliteit gelden voor een end-to-end verbinding vanaf de schoollocatie naar de eindbestemming (bijvoorbeeld tussen de schoollocatie en de server van de aanbieder van digitaal leermateriaal). Uiteraard zal niet het gehele pad van de schoollocatie naar de eindbestemming onder controle zijn van één dienstaanbie der. Daarom moet de kwaliteit over het gedeelte dat de aanbieder aan de school levert ruim binnen deze normen vallen.
Kwaliteit niet altijd gegarandeerd In het algemeen garanderen aanbieders de genoemde kwaliteits aspecten alleen voor hun op de grootzakelijke markt gerichte aanbod, en niet in hun op consumenten en de kleinzakelijke markt gerichte aanbod. Wel geeft een aantal aanbieders met online rapportages inzicht in de prestaties van hun netwerk over de afgelopen periode. In het algemeen voldoen glasvezel, kabel, DSL, 4G en straalverbindingen aan de genoemde kwaliteits aspecten. Satellietcommunicatie (met typische latency van circa 500 ms) voldoet niet aan deze kwaliteitsnormen.
10
2.2.1 Te maken keuzen We gaan ervan uit dat voor het merendeel van de po- en vo-scholen kwaliteit van de (internet)connectiviteit van belang is, maar dat een kwaliteitsgarantie – gezien het huidige marktaanbod – te hoge kosten met zich meebrengt.
Advies Informeer bij de oriëntatie op een nieuwe dienstverlenings overeenkomst naar de prestaties van de specifieke dienst van de aanbieder op bovengenoemde kwaliteitsaspecten. Is het gebruik van (interactieve) multimedia op uw schoollocatie van cruciaal belang voor de effectiviteit van het onderwijs, kies dan voor een aanbod waarbij de genoemde kwaliteitsaspecten wel gegarandeerd worden. Dat zal veelal een aanbod zijn dat gericht is op de grootzakelijke markt.
Indien uw schoollocatie aangesloten is op een besloten netwerk (bijvoorbeeld van scholen onder één bestuur) met een centrale internetbreak-out, dan zijn de kwaliteitsaspecten van belang zowel op het besloten netwerk als op de centrale internetbreak-out. Besloten netwerken op laag 2 (bijvoorbeeld op basis van ethernet verbindingen; zie de verklarende woordenlijst in de ‘Handreiking wifi voor scholen’ voor de termen ‘laag 2’ en ‘ethernetverbindingen’) voldoen in vrijwel alle gevallen aan de kwaliteitsaspecten, waarbij u kunt overwegen om monitoring in te richten om de kwaliteit van de verbindingen te bewaken. Voor de centrale internetbreak-out geldt
hetzelfde als in deze paragraaf opgenomen voor internetconnectivi teit op schoollocaties.
2.2.2 Meten van de kwaliteit U kunt zelf de kwaliteit van de verbinding controleren. Zie hiervoor paragraaf 2.1. Let op: latency wordt veelal aangeduid met ‘ping’ in toepassingen die de kwaliteit van een verbinding meten.
2.3 Overige vereisten We onderzochten welke overige vereisten scholen moeten invullen, naast de benodigde bandbreedte, servicelevelafspraken en kwaliteit saspecten. Het gaat dan om diensten die (vrijwel) iedere school locatie nodig heeft en die sterk samenhangen met de (internet) connectiviteit.
2.3.1 Modem/router Afhankelijk van de specifieke dienst die u afneemt, is een modem en/of router nodig waarmee uw interne netwerk met het externe netwerk wordt verbonden. Het aanbod op dit gebied verschilt per aanbieder. U kunt er de voorkeur aan geven om de aanbieder ook de modem/router te laten leveren en beheren, of om dit juist zelf te regelen. We gaan hier in op de meest voorkomende situaties.
11
Advies Informeer in alle gevallen welk koppelvlak uw aanbieder biedt en ga na hoe u uw interne netwerk op dat koppelvlak aansluit.
2.3.2 In het geval van internetconnectiviteit Indien u een dienst voor internetconnectiviteit op uw schoollocatie afneemt, kunt u ervoor kiezen om de aanbieder ook de modem/ router te laten leveren en beheren. Een aantal aanbieders biedt deze dienst niet. Bij snelheden tot 500 Mbps is het koppelvlak van de router doorgaans een RJ45-stekker die met Cat6-bekabeling direct op uw LAN-switch aangesloten kan worden. Vanaf 1 Gbps is het koppelvlak veelal optisch in de vorm van een SFP/glasvezelverbinding naar uw LANswitch. We adviseren u tevoren af te stemmen welk koppelvlak uw leverancier aanbiedt, zodat zeker is dat u moeiteloos kunt aansluiten.
2.3.3 In het geval van een besloten netwerk tussen schoollocaties Als u een besloten netwerk tussen verschillende schoollocaties heeft, zult u veelal zelf voor de routers en het beheer daarvan moeten zorgen. Deze vormen dan onderdeel van uw interne net werk. Voor uw interne netwerk is een aparte handleiding beschik baar. Uw aanbieder biedt een koppelvlak waar u uw switches of routers op kunt aansluiten. Welk koppelvlak dit is, hangt af van de specifieke dienst van de aanbieder.
2.3.4 Router als wifi access point De beheerde modem/router hoeft geen wifi access point te zijn. Als dat wel zo is, dient deze functionaliteit – bijvoorbeeld op verzoek van de schoollocatie – uitgezet te kunnen worden. Dit om zo min mogelijk verstoring te geven op een reeds bestaand wifi-netwerk op de schoollocatie en om beveiligingsincidenten te vermijden.
2.3.5 Beheer Het beheer van de modem/router houdt in dat alle installatie-, onderhouds- en configuratiewerkzaamheden worden uitgevoerd en dat zo nodig vervanging plaatsvindt. U kunt het beheer zelf uitvoeren of een beheerde modem/router als dienst afnemen bij een marktpartij, zoals de aanbieder van de (internet)connectiviteit.
Advies Laat de servicelevelafspraken ook van toepassing zijn op de modem/router.
Proactieve monitoring van de modem/router op incidenten is bij enkele aanbieders optioneel. Dit houdt in dat uw aanbieder storingen zelf opmerkt en herstelwerkzaamheden start om de storing te verhelpen.
12
2.3.6 Vast(e) IP-adres(sen) Met vaste IP-adressen kunt u servers en services op uw schoolloca tie benaderen vanaf het internet. Het kan dan gaan om thuiswerkers en leerlingen die toegang moeten hebben tot een mailserver, een lesrooster of digitaal leermateriaal. Indien u al uw diensten in de cloud heeft, dan is toegang vanaf het internet tot uw schoollocatie en vaste IP-adressen niet nodig. Bij het zakelijk aanbod van vrijwel alle aanbieders krijgt u de beschik king over een of meer vaste IP-adressen. Bij het consumentenaan bod worden in het algemeen geen vaste IP-adressen beschikbaar gesteld. Tegen vergoeding kunt u veelal over enkele extra vaste IP-adressen beschikken.
Advies Inventariseer van tevoren uw behoefte aan vaste IP-adressen en maak daarover afspraken met uw aanbieder.
2.3.7 Domeinnaamregistratie en DNS Indien een server of service vanaf het internet met behulp van een domeinnaam benaderbaar moet zijn, dan dient u uw domeinnaam te registreren bij een registrar. Veelal zijn internetproviders ook registrar. Met DNS kunt u een vast IP-adres koppelen aan een server of service die van buitenaf benaderbaar moet zijn. Ter illustratie: in de (externe) DNS van Kennisnet is opgenomen dat de website kennisnet.nl te vinden is op het vaste IP-adres 145.97.35.80.
De webbrowser van een gebruiker die kennisnet.nl wil bezoeken, haalt met behulp van DNS automatisch het juiste vaste IP-adres op dat nodig is om de pagina’s van de website te downloaden. U bent eigenaar van uw domeinnaam. Verlaat u een internetprovi der en verhuist u naar een andere, dan blijft de domeinnaam uw eigendom. Alleen het vaste IP-adres van de services op uw school locatie wijzigen. Indien u beveiligingscertificaten op uw servers gebruikt, dan zullen ook die bij toekenning van een ander vast IP-adres moeten worden vervangen.
2.3.8 Beveiligingsdiensten Firewall Een firewall scheidt het interne netwerk van het internet en blok keert alle verkeer, tenzij een regel voorschrijft dat de verkeers stroom tussen het interne netwerk en het internet is toegestaan. Zo beveiligt een firewall het interne netwerk tegen ongewenst verkeer van buitenaf.
Advies Plaats te allen tijde een firewall tussen het interne netwerk en het internet.
Met een firewall kunt u zeer fijnmazig instellen welke verkeers stromen toegestaan zijn: tussen welke applicaties, in welke richting, van/naar welk systeem, welk type systeem mag wel communiceren
13
en welke niet et cetera. Het beheer van de regels is specialistisch werk. Ook kan met een firewall een apart netwerk worden ingericht: een zogenoemde DMZ. Hierop staan servers en services die benader baar moeten zijn vanaf het internet.
Advies Voorkom te allen tijde dat er servers op het interne netwerk staan die direct vanaf het internet benaderbaar zijn. Dergelijke servers behoren om redenen van informatiebeveiliging in een DMZ.
U kunt het beheer van de firewall zelf uitvoeren, het beheer als dienst afnemen of een eigen firewall laten beheren door een marktpartij. Intrusion detection/intrusion prevention system (IDS/IPS) Een IDS/IPS werkt aanvullend op een firewall en controleert het netwerkverkeer meer inhoudelijk dan een firewall. Met een IDS/IPS kan bewaakt worden of zich in het netwerkverkeer patronen voor doen die wijzen op een infectie met een computervirus, besmetting met malware of andere ongewenste activiteiten. Doordat steeds nieuwe malafide verkeerspatronen ontdekt worden, moet een IDS/ IPS met een abonnement up-to-date blijven. Hiervoor wordt de internetverbinding gebruikt. Het gebruik van een IDS/IPS wordt steeds gangbaarder in de grootzake lijke markt. We adviseren u te overwegen of op uw netwerk een IDS/IPS nodig is. U kunt een IDS/IPS als dienst inkopen bij gespecialiseerde bedrijven en bij een aantal aanbieders van (internet)connectiviteit.
Antivirus Om de systemen op het netwerk van uw schoollocatie te bescher men, is antivirussoftware nodig op alle servers, pc’s, tablets en andere aangesloten systemen. Antivirussoftware moet tenminste dagelijks bijgewerkt worden om up-to-date te blijven. Het beheer van een dergelijke gecoördineerde antivirusinstallatie op de syste men in een netwerk is specialistisch werk.
Advies Installeer te allen tijde antivirussoftware op alle systemen op het netwerk. U kunt die zelf beheren en up-to-date houden of deze dienst inkopen bij een marktpartij. Een aantal aanbieders van (internet)connectiviteit biedt dergelijke diensten.
URL-/contentfiltering URL-filtering voorkomt dat uw gebruikers geen malafide websites gebruiken. Zo worden zij beschermd tegen besmettingen met malware en computervirussen. Met URL-filtering kunt u ook bepalen welke websites wel en niet mogen worden bezocht door specifieke groepen gebruikers. Contentfiltering zorgt ervoor dat de gebruikers op uw netwerk geen ongewenste bestanden (bijvoorbeeld met computervirussen) kunnen downloaden. Ook een dienst voor URL-/ contentfiltering moet up-to-date blijven.
14
Advies Overweeg om een dienst voor URL-/contentfiltering te gebrui ken. U kunt deze functionaliteit op een server op uw netwerk installeren of een beheerde dienst uit de cloud afnemen van een marktpartij. Een aantal aanbieders van (internet)connectiviteit biedt dergelijke diensten.
Indien u met URL-/contentfiltering gaat werken, adviseren we u beleid op te stellen, waarin staat vermeld welke websites en content uw gebruikers wel mogen raadplegen en welke niet en wat de gevolgen zijn in geval van overtreding. Mailfiltering Met mailfiltering kunnen e-mails die phishingmails zijn of die een computervirus of andere malware bevatten, van het interne netwerk geweerd worden. Mailfilteringfunctionaliteit moet up-to-date blijven.
Advies Gebruik te allen tijde mailfiltering. U kunt deze functionaliteit op een server op uw netwerk installeren of een beheerde dienst uit de cloud afnemen van een marktpartij. Een aantal aanbieders van (internet)connectiviteit biedt dergelijke diensten.
Bescherming tegen DDoS-aanvallen Een DDoS-aanval is een gecoördineerde aanval op een website, een server of een ander systeem vanaf zeer veel verschillende locaties op het internet. Doordat de aanval van zoveel verschillende kanten komt, is het niet mogelijk om op uw schoollocatie hiertegen techni sche maatregelen te nemen. Wel kan een internetprovider in zijn netwerk voorzieningen treffen om DDoS-aanvallen af te weren.
Advies Informeer naar de mogelijkheden van uw aanbieder op het gebied van bescherming tegen DDoS-aanvallen. Stel een DDoS-protocol op met uw aanbieder, waarin staat wie welke taken uitvoert indien zich een DDoS-aanval voordoet en waar de aanval gemeld moet worden (bijvoorbeeld bij uw ict-dienst verlener, internetprovider, de politie en het Nationaal Cyber Security Center).
2.4 Servicelevelafspraken De externe connectiviteit is een essentiële schakel bij het gebruik van digitale leermiddelen, het primaire proces van scholen. Daarom is een hoge beschikbaarheid en korte hersteltijd bij calamiteiten vereist. Doelstelling is honderd procent beschikbaarheid gedurende reguliere gebruiksuren. Indien er uitval is tijdens de reguliere gebruiksuren, dient de dienstverlening zo spoedig mogelijk hersteld te zijn. Gepland onderhoud dient tussen 0:00 en 8:00 uur op school
15
dagen of op niet-schooldagen plaats te vinden, maar mag ook niet plaatsvinden op momenten dat de (internet)connectiviteit wordt gebruikt voor bijvoorbeeld het maken van een back-up (veelal ’s nachts). norm
minimum
service window
8:00 – 24:00 uur op schooldagen
8:00 – 24:00 uur op schooldagen
beschikbaarheid
100% gedurende service window
99,5% gedurende service window
hersteltijd
zo spoedig mogelijk
binnen 4 uur
Indien een servicelevel onder het minimum komt, ondervindt de school aanmerkelijke hinder in het onderwijs. We gaan ervan uit dat genoemd minimum reëel is gezien het aanbod van internetproviders.
Noodzaak van een back-upverbinding Op voorhand verwachten we dat het zakelijk aanbod van internetproviders zonder back-up aan de minimumbeschikbaar heid kan voldoen. Om in alle gevallen de hersteltijd te kunnen nakomen – ook bij calamiteiten, zoals een kabelbreuk door graafwerkzaamheden – zal een back-upverbinding nodig zijn. Een back-upverbinding zal, afhankelijk van de voorgestelde oplossing, inherent zijn aan de oplossingsrichting (bijvoor beeld bij een glasvezelring of bij een gestapelde verbinding waarbij verschillende verbindingen worden gecombineerd) of separaat gerealiseerd moeten worden. In verband met de kosten wordt veelal gekozen voor een back-upverbinding met een niet-volledige capaciteit en wordt beleid opgesteld waarin omschreven is welk verkeer in geval van calamiteiten nog mag plaatsvinden.
2.4.1 Te maken keuzen Aanbieders hanteren in hun consumentenaanbod (en veelal ook in hun aanbod gericht op de kleinzakelijke markt) geen beschikbaar heidsgaranties. We gaan ervan uit dat dat voor het merendeel van de po- en vo-scholen ook niet vereist is.
16
Advies Is de beschikbaarheid van (internet)connectiviteit cruciaal voor de effectiviteit van het onderwijs op de schoollocatie? Maak dan afspraken met uw aanbieder over een beschik baarheidsgarantie. Inventariseer welke eisen op uw schoollocatie gelden in het geval van een calamiteit (bijvoorbeeld als de dienst niet binnen enkele uren hersteld kan worden). Tref een voorziening voor calamiteiten. Selecteer bijvoor beeld een aanbod waarbij continuïteit (deels) geborgd is door de voorgestelde technische oplossing voor de aansluiting van uw schoollocatie. Een andere mogelijkheid is dat u een back-upverbinding met een lagere capaciteit inkoopt en beleid opstelt voor internetgebruik tijdens calamiteiten (ter beheersing van het gebruik van de lagere capaciteit).
17
Colofon Handreiking externe connectiviteit Deze publicatie is opgesteld in het kader van het Doorbraakproject Onderwijs & ICT. Datum van uitgave Februari 2016 Redactie Eric van der Palen – Netboosters, Okko Huising – Kennisnet Eindredactie Pam van der Veen Realisatie Vormgeving – Tappan Communicatie, Den Haag Fotografie – Etienne Oldeman Hoewel aan de totstandkoming van deze uitgave de uiterste zorg is besteed, aanvaarden de auteurs en redacteur geen aansprakelijkheid voor eventuele fouten of onvolkomenheden.
Met dank aan Petra Nederkoorn, Okko Huising, Bastiaan Vader – Kennisnet
Stichting Kennisnet Paletsingel 32 2718 NT Zoetermeer
T 0800 321 22 33 E
[email protected] I kennisnet.nl
Postbus 778 2700 AT Zoetermeer
Laat ict werken voor het onderwijs
18