Das menschliche Problem (Social Engineering)
Sie haben Lehrer, die den Schülern beiläufig Passwörter aushändigen. Die erste Gruppe, die Sie über die Nutzung des Netzwerks informieren müssen, sind Ihre Lehrer. Andernfalls sind weitere Sicherheitsmaßnahmen sinnlos.
Vorausgesetzt, Sie verwenden ein sicheres Kennwort für den WLAN-Schlüssel und verwenden WPA2 (nicht WEP oder sogar WPA, sondern WPA2), ist das drahtlose Netzwerk nicht Es ist besonders einfach, in sie einzubrechen.
Dies bedeutet, dass Ihre Lehrer Ihren Schülern das Passwort entweder direkt und absichtlich oder durch eine laxe Behandlung der Sicherheit (Aufschreiben des Passworts, Entsperren von Computern usw.) geben .)
Es gibt viele andere Antworten, die sich mit Themen wie MAC-Adressfilterung (sinnlos), eindeutigen Konsequenzen für den Missbrauch des Netzwerks usw. befassen.
Einige Antworten befassen sich auch mit der Möglichkeit von Geben Sie den Schülern ein eigenes Netzwerk zur Verwendung.
Die technische Lösung
Einige Antworten haben Variationen beim Einrichten eines sicheren Netzwerks vorgeschlagen. Dies kann mit relativ geringem Aufwand erfolgen und kann problemlos erweitert werden, um mehrere Netzwerke für unterschiedliche Zwecke bereitzustellen (Lehrer- / Administratornetzwerk für vertrauliche Inhalte, Schülernetzwerk für Chromebooks im Klassenzimmer und möglicherweise sogar eingeschränkte Nutzung der eigenen Geräte der Schüler).
Wenn Sie über Active Directory (einen Windows-Server) oder einen Linux-SAMBA-Server verfügen, können Sie die WPA-Enterprise-Authentifizierung in Ihrem drahtlosen Netzwerk einrichten.
Außerdem können Sie relativ kostengünstige Zugriffspunkte bereitstellen, die miteinander kommunizieren und es Ihnen ermöglichen, mehrere SSIDs (mehr als ein drahtloses Netzwerk) in jeweils einem separaten VLAN bereitzustellen. Jedes VLAN ist ein separates Netzwerk und kann nur über einen Router mit anderen VLANs kommunizieren. Auf diesem Router legen Sie Firewall-Regeln fest, um zu steuern, was mit was kommunizieren kann. Ein Netzwerk kann WPA-Enterprise verwenden, während ein anderes WPA2 verwendet, oder es ist geöffnet, erzwingt jedoch die Authentifizierung über ein Captive-Gastportal und eine Firewall, die Verbindungen zum Administrationsnetzwerk verhindert.
Gewähren Sie den Schülern lediglich eine Netzwerkverbindung Eine eigene Domäne kann die Anzahl der Personen verringern, die daran interessiert sind, gegen Richtlinien zu verstoßen und ihre Noten oder ihre Sommer zu riskieren, um in das sensible Verwaltungsnetzwerk einzudringen.
Ich versuche nicht, eine bestimmte Ausrüstung zu verkaufen, aber Als nur ein Beispiel können Sie Ubiquiti Unifi-APs für jeweils weniger als 70 US-Dollar erwerben. Sie können bis zu vier SSIDs bedienen. Die Controller-Software ist "kostenlos" und läuft unter Windows oder Linux. Sie enthält ein Gastportal, über das Besucher (auch als "Studenten" bezeichnet) sich einzeln anmelden können, um auf das Netzwerk zugreifen zu können. Sie können so viele davon bereitstellen, wie Sie benötigen, um eine ausreichende Funkabdeckung zu erzielen, und Geräte / Laptops können nahtlos zwischen allen APs wechseln. Da es sich um PoE-Geräte handelt, benötigen sie zum Funktionieren lediglich ein Ethernet-Kabel. http://www.amazon.com/Ubiquiti-Networks-UniFi-Enterprise-System/dp/B004XXMUCQ
Sie können einen echten Router für 100 US-Dollar erwerben, der über die Routing-Engine nahezu Gigabit pro Sekunde überträgt (tatsächlich für 50 US-Dollar mit etwas geringerem Durchsatz, wenn Sie die Version "Little Brother" erhalten und ja, ich denke an eine bestimmte Marke). Jeder dieser kleinen Router bietet Ihnen eine einzige Internetverbindung (oder redundante Verbindungen, wenn Sie dies bevorzugen) und die Möglichkeit, das Netzwerk in mehrere VLANs zu segmentieren und die Kommunikation zwischen diesen Segmenten zu steuern und jedem Netzwerksegment einen anderen DHCP-Server zu präsentieren. Sie können also alle Schülerverbindungen über einen Proxyserver leiten, der Aktivitäten protokolliert und nach hinterhältigen / unangemessenen Dingen sucht, wenn Sie dies möchten.
Sie können einen 8-Port-verwalteten ("intelligenten") Gigabit erhalten Ethernet-Switch mit ausreichender VLAN-Unterstützung für 30 US-Dollar oder eine 24-Port-Version des Switch für 80 US-Dollar. Für den Umfang und das Budget, mit dem Sie zu tun haben, müssen Sie nicht Tausende von Dollar pro Gerät ausgeben, um erstklassige HP Procurve- oder Cisco-Switches und super teure drahtlose Geräte mit dedizierten Hardware-Controllern zu verwenden . Die sind großartig, verstehen Sie nicht falsch, aber wenn es nicht im Budget ist, dann ist es nicht im Budget.
Für ein paar hundert Dollar jemand mit ein bisschen Netzwerkwissen und Durch den Zugriff auf Online-Dokumentation und -Foren kann ein robustes Netzwerk eingerichtet werden.