Konsequenzen für im Netzwerk gefundene Schüler erzwingen

Als Erstes müssen Sie sicherstellen, dass Sie eine schriftliche Richtlinie haben, in der dargelegt wird, welche Geräte im Netzwerk zulässig sind. Wenn Sie jedoch bei der Durchsetzung Ihrer Richtlinie nicht konsequent sind, ist dies nutzlos.

Dies sollte auch die Verwendungsrichtlinien für die Lehrer abdecken, einschließlich des Sperren ihrer Computer, wenn sie nicht am Computer vorhanden sind. Sie können auch Gruppenrichtlinien verwenden, um zu verhindern, dass Benutzer das WLAN-Kennwort anzeigen können.

Technische Maßnahmen

Im Folgenden finden Sie verschiedene Optionen zum Einschränken der Verwendung von Schülergeräten im Schulnetzwerk. Am effektivsten ist WPA2-Enterprise. Die anderen sind enthalten, da sie den unbefugten Zugriff von Schülern möglicherweise effektiv genug einschränken und je nach Netzwerk möglicherweise einfacher zu implementieren sind.

Die Frage deutet jedoch darauf hin, dass sich die Schüler im Hauptnetzwerk der Organisation befinden. Nur WPA2-Enterprise wird Ihr Netzwerk angemessen vor Angriffen eines nicht autorisierten Geräts schützen. Sobald eine PSK bekannt ist, kann ein Schüler den Webdatenverkehr des Lehrers abhören und möglicherweise E-Mail- und Windows-Hashes erfassen. Darüber hinaus kann ein böswilliger Benutzer andere Computer direkt angreifen.

WPA2-Enterprise

Die beste Lösung wäre die Implementierung von WPA2-Enterprise anstelle eines vorinstallierten Schlüssels (WPA2-) PSK). Dadurch können einzelne Anmeldeinformationen ausgestellt werden. Dies wird implementiert, indem Client-Zertifikate auf jedem Computer installiert werden. Dies erfordert ein gutes Stück Engineering und ist in größeren Umgebungen nicht trivial einzurichten. Diese Seite enthält einige gute Hinweise zur Bereitstellung von WPA2-Enterprise.

Captive Portal

Wie @Steve Sether erwähnt, kann das Captive-Portal Chillispot verwendet werden, um Benutzer zu authentifizieren, sobald sie eine Verbindung zum Netzwerk hergestellt haben. Obwohl ich keine Beweise habe, auf die ich hinweisen kann, vermute ich, dass ein solches Portal durch Spoofing von MAC- und IP-Adressen umgangen werden kann. Dies erhöht jedoch die Schwierigkeit und ist einfacher zu verwalten als die MAC-Filterung auf mehreren Geräten.

MAC-Adressfilterung

Wie Sie bereits erwähnt haben, können MAC-Adressen gefälscht werden, sodass die Wirksamkeit der MAC-Adressfilterung begrenzt ist. Viele Telefone verhindern jedoch das Spoofing der MAC-Adresse, sodass einige der problematischen Benutzer angesprochen werden. Das iPhone muss beispielsweise einen Jailbreak aufweisen, bevor die MAC-Adresse geändert werden kann. Der schwierigste Teil der Verwendung der MAC-Adressfilterung besteht darin, die Liste der zulässigen MAC-Adressen zu verwalten, insbesondere auf mehreren Geräten verschiedener Anbieter.

Ich würde auch argumentieren, dass die Verwendung der MAC-Adressfilterung einen „legalen“ Vorteil bietet oder ein Captive Portal. Es kann schwierig sein zu behaupten, dass ein Benutzer nicht zum Zugriff auf ein Netzwerk berechtigt war, wenn das Kennwort auf ein Whiteboard geschrieben wurde. Wenn ein Benutzer jedoch eine Sicherheitsbeschränkung explizit umgehen muss, haben Sie ein stärkeres Argument gegen die Aktivität.

Verwenden eines Internetproxys zum Verhindern nicht autorisierter Verwendungen von HTTPS

Implementieren Sie eine HTTPS-Lösung das verwendet Ihren eigenen privaten Schlüssel. Sie können das entsprechende Zertifikat auf den Computern der Organisation installieren, ohne dass sie etwas anderes bemerken (obwohl die Organisation den Mitarbeitern dennoch mitteilen sollte, dass ein HTTPS-Abfangen stattfindet). Nicht autorisierte Geräte ohne Zertifikat erhalten jedoch eine unangenehme Meldung, dass HTTPS ungültig ist, wenn sie versuchen, eine sichere Seite zu durchsuchen. Da Sie den HTTPS-Verkehr entschlüsseln, können Sie außerdem den Verkehr überwachen. Wenn Sie beispielsweise sehen, welche Schüler sich bei Facebook anmelden, können Sie diese Schüler direkt ansprechen.

Viele Content Control-Implementierungen bieten die Möglichkeit, HTTPS-Verkehr zu entschlüsseln. Wenn in der Schule bereits ein Mechanismus zur Inhaltskontrolle vorhanden ist (z. B. Bluecoat oder Net Nanny), sprechen Sie mit Ihrem Anbieter über die Implementierung dieser Funktion.

Sie versuchen, das falsche Problem zu lösen.

Es sind Tausende und Sie sind eins. Da Sie kein Sicherheitsexperte sind (soweit ich weiß, tut mir leid, wenn ich mich irre) und sie es auch nicht sind, aber sie sind eine Horde, müssen Sie nur verlieren, wenn Sie einen konventionellen Krieg führen.

@AviD gab in einem Kommentar eine großartige Antwort:

Hier ist eine nicht technische Idee: Dies ist eine Schule, richtig? Also erziehe sie. Bringen Sie ihnen die Wichtigkeit von Konsequenzen, akzeptablen Gebrauch, die Illegalität von Hacking bei ... und ja, die richtige Nutzung des Internets. Ich meine, geben Sie ihnen Zugriff auf ein separates gefiltertes Netzwerk, wenn nötig, und erstellen Sie einen Lehrplan dafür. Klassen, Internetsicherheit, strikte Einhaltung der AUP usw. Geben Sie ihnen Zugang zum Netzwerk und lehren Sie sie, gute Internetbürger zu sein. Und wie man das Internet produktiv nutzt, um ihre Ausbildung zu unterstützen.

Sie können nicht nur den Krieg gewinnen, um zu verhindern, dass sie Zugang erhalten, sondern auch , selbst wenn Sie dies tun , Sie haben nichts erreicht: Sie haben immer noch ihre Geräte, sie werden immer noch abgelenkt, nur auf unterschiedliche Weise .

Außerdem werden Sie sie durch Hacken wertvoll unterrichten Lektionen, in "Problemlösung", könnten wir sagen. Wenn dies nicht die Art von Problem ist, die sie lösen sollen, finden Sie bessere, unterhaltsamere oder nützlichere Probleme.

Bitte beachten Sie, dass dies auch dann möglich war (ich denke, es ist nicht so). Es ist auch keine gute Lösung, sie daran zu hindern, die Geräte überhaupt mitzubringen: Sie müssen lernen, Geräte zur Hand zu haben und sie nicht zu verwenden, und stattdessen die Lektion befolgen. Wenn sie diese Lektion nicht lernen, haben sie in Zukunft sowohl sozial als auch beruflich das gleiche Problem .

Wenn es ihnen schließlich gelingt, Ihren Lektionen nicht zu folgen und trotzdem gute Noten zu erhalten , liegt das Problem möglicherweise hier. Sind Ihre Tests zu einfach oder zu betrügerisch? Sind deine Lektionen nutzlos? Das ist der Punkt. Wenn sie andererseits die Tests nicht bestehen, können / sollten sie erkennen, dass das Befolgen der Lektionen ihnen möglicherweise zum Erfolg verhilft…

Wie DDPWNAGE richtig hervorhebt:

Das ist 2015, richtig? Meiner Meinung nach sollte den Studenten ein eingeschränkter Zugang zum Internet gewährt werden. Wenn Sie ein Gymnasiallehrer sind, fragen Sie die Schule, ob Sie eine Klasse über die Nutzung des Internets unterrichten und einige grundlegende Computerklassen unterrichten können. Eine wachsende Anzahl von Kindern interessiert sich für diese Fächer, und eine Programmiersprache, die in der High School gelernt wurde, kann später ein Kind Tausende im College retten. Ich mache am kommenden Freitag meinen Abschluss an der HS und komme mit einem iOS-Spiel heraus, das Objective-C als Logik verwendet. Lassen Sie Kinder einfach beim Thema bleiben, und sie können großartige Dinge tun.

Ethernet

Bevor ich von allen geflammt werde, die sagen, dass iPads keine Ethernet-Ports haben, ist dies einfach eine einzelne Ebene der "Sicherheit".

In den meisten Fällen sollten Lehrer in der Lage sein, ihre Laptops mit einem physischen Ethernet-Kabel BASE-100TX CAT5 + zu verwenden.

Sie haben die Angriffsfläche reduziert (da die Tasten nicht eingeschaltet sind) die Laptops des Lehrers nicht mehr).

Sollten die Schüler Zugriff auf den physischen CAT5 erhalten, ist dies schwieriger auszunutzen (Sie können ein physisches Gerät sehen, das an ein Kabel angeschlossen ist, und die meisten Telefone haben keine RJ45-Buchse).

Wenn Passwörter so verloren gehen, haben Sie möglicherweise ein größeres Problem als die Einschränkung des WLAN-Zugangs. Es hört sich so an, als könnten die Kinder fast alles tun, was ein Lehrer tun kann (einschließlich der Manipulation von Prüfungsergebnissen?) Und dies routinemäßig bei Ihnen vor Ort tun.

Es klingt so, als würde ein wenig Lehrerausbildung dies lösen, nachdem einige Detektivarbeiten durchgeführt wurden, um die Ursache des Lecks einzugrenzen. Es könnte eher ein gehackter Computer oder Router als ein menschliches Versagen sein, also befürworte ich nichts Drakonisches. Ich würde eine Protokollierung installieren oder den Lehrern (vorübergehend) individuelle Passwörter geben.

Vielleicht erleichtern Sie es den Lehrern auch, Hilfe von einem Erwachsenen zu erhalten oder Gastkonten zu verwenden, wenn ein Kind hilft? P. >

• Geben Sie jedem autorisierten Benutzer ein individuelles Passwort. Dann können Sie beurteilen, woher die Lecks kommen (vorausgesetzt, sie lecken im Gegensatz zu Rissen). (z. B. müssen Sie möglicherweise einen Ihrer Lehrkräfte schulen, damit das Kennwort nicht auf seinem Schreibtisch vermerkt bleibt.)

• Richten Sie strenge Firewall-Regeln ein, die den Zugriff auf die meisten blockieren des Internets. Lassen Sie nur das Minimum an zugänglichen Websites. Die Schüler geben möglicherweise den Versuch auf, eine Verbindung herzustellen, wenn sie beispielsweise keinen Zugriff auf Facebook erhalten. Autorisierte Benutzer können leicht verlangen, dass eine Site entsperrt wird, wenn sie diese benötigen. Der Block kann auch so konfiguriert werden, dass er nur für drahtlose Verbindungen gilt. Auf diese Weise werden Ihre Verwaltungsmitarbeiter, die den ganzen Tag über eine Kabelverbindung an ihrem Computer auf ihrem Schreibtisch haben, nicht gestört.

Erwägen Sie ein Geräte-Upgrade

Ich weiß, dass Sie nach einer No-Budget-Lösung suchen, aber ein passender Satz von WAPs und zentraler Steuerung für Unternehmen könnte die Sicherung des Geräts verbessern Netzwerk einfacher. Wägen Sie es gegen die Kosten ab, die für die Verteidigung gegen eine Klage wegen Cyber-Mobbing oder Belästigung eines Mitarbeiters oder für die Erleichterung der Fälschung von Testergebnissen anfallen ...

Verwenden Sie die MAC-Filterung

Wenn Sie die MAC-Adressen erfassen, können Sie mit jedem Mitarbeiter über Ihre Erwartungen an die Sicherung seines Kontos und seiner Ausrüstung sprechen. Eine Liste mit MAC-Adressen, Hardware-Seriennummern und anderen Informationen zu Geräten in Schulbesitz ist ebenfalls wichtig, um nachzuweisen, dass Sie keinem Diebstahl ausgesetzt waren.

Machen Sie DHCP zu einem Honeypot

Weisen Sie den Geräten der Mitarbeiter statische IP-Adressen aus einem überschaubaren Bereich zu und erlauben Sie ihnen den entsprechenden Zugriff auf das Internet. Konfigurieren Sie DHCP so, dass Adressen aus einem anderen Bereich für nicht erkannte MAC-Adressen ausgegeben werden, und richten Sie eine DNAT-Umleitung ein, sodass ein Benutzer nur dann eine statische Webseite mit Anweisungen sieht, mit denen er sprechen kann:

"Dieses Netzwerk wird von der XXX-Schule betrieben und ist nur für autorisierte akademische Zwecke bestimmt. Wenn Sie glauben, dass diese Seite irrtümlich angezeigt wird, wenden Sie sich bitte an Herrn McQueen in Raum XXX."

Konsequenzen erzwingen

Wenn Schüler keine Telefone und Laptops haben sollen, erzwingen Sie dies. Erste Straftat, beschlagnahmen Sie das Gerät sofort und lassen Sie es von einem Elternteil abholen. Die zweite Straftat, dieselbe Übung, suspendiert den Schüler, als wäre ein Schüler mit Drogen oder einer Waffe erwischt worden. Für diejenigen Schüler, die ein Telefon zur / von der Schule tragen müssen (wenn es sich um eine High School handelt, benötigen sie möglicherweise ein Telefon für die Arbeit oder den Weg dorthin), lassen Sie es vor Beginn des Schultages bei der Sekretärin einchecken und einchecken es danach heraus.

Sie müssen die menschliche Sicherheit verschärfen, nicht die technische Sicherheit. Das WLAN-Passwort ist gut genug. Die eigentlichen Fragen lauten " Wer gibt Passwörter an Schüler weiter? " und " Wie kann man sie stoppen? ". Sie können keine Sicherheit haben, wenn privilegierte Personen (Mitarbeiter) ihre Anmeldeinformationen mit denen teilen, die Sie blockieren möchten.

Das Einrichten unterschiedlicher Kennwörter für jede einzelne Person würde nur als solche helfen in der Lage sein, diejenigen auszusperren, die ihre Passwörter preisgeben. Und dann bringen Sie ihnen nach und nach bei, vorsichtiger zu sein, indem Sie ein langwieriges und mühsames Verfahren zur Wiederherstellung des Zugriffs anwenden: D

// edit: Nachdem Sie Ihre Frage erneut gelesen haben, stellen Sie fest, dass Sie bereits gesagt haben, wie Passwörter verloren gehen.

  Einige der Lehrer sind mit Technologie überhaupt nicht vertraut.  

Daher kann ich Ihnen extreme Mittel vorschlagen:

Dann ändern Sie die Technologie! Wi-Fi ist kompliziert und verwirrend. Ersetzen Sie es durch Kabel. Kabel sind einfach und leicht zu verstehen: Man schließt sie an, die Lichter beginnen zu blinken und das Internet funktioniert. Bitte haben Sie Verständnis dafür, dass ich Sie nicht dringend auffordere, Ihr WLAN physisch herunterzufahren. Ich schlage lediglich vor, dass die meisten Lehrer es nicht direkt verwenden sollten, sodass sie das Passwort nicht kennen müssen.

Wenn Sie nirgendwo ein Kabel bekommen können, bietet ein einfacher Zugangspunkt im Client-Modus eine Ethernet-Buchse. Das Kennwort im Admin-Bereich macht es sehr schwierig zu erfahren, wie dieser AP Ihr "Backbone" -Wi-Fi autorisiert.

Stellen Sie für Chromebooks und iPads ein dediziertes Wi-Fi in dem Raum ein, in dem sie sich befinden benutzt. Sie können das Passwort nach jeder Klasse ändern und das neue bekannt geben, wenn die nächste Klasse beginnt.

Ich würde WPA2-Enterprise verwenden, also würde jeder seinen eigenen Namen und sein eigenes Passwort verwenden, nicht nur ein Passwort, das für alle gleich ist. Zum Einrichten von WPA2-Enterprise benötigen Sie lediglich einen RADIUS-Server. Die billigste Meinung ist meiner Meinung nach, einen NAS-Server zu kaufen. Es unterstützt mehrere Dinge und manchmal auch RADIUS (ich empfehle Synology dafür).

Alternativ können Sie ein Hotspot-System verwenden, um eine Anmeldung zu erfordern, aber nicht alle Router unterstützen dies und es ist ziemlich teuer.

Erwähnte MAC-Filter und DHCP-Traps sind nicht die Hauptsicherheit. Es müssen alle Adressen in den Routern registriert sein, daher gibt es keine Möglichkeit, ein eigenes Gerät mitzubringen. Das nächste ist, dass MAC-Filter und DHCP-Traps in etwa 5 bis 15 Minuten geknackt werden können.

Zum letzten Absatz: Jemand sollte den Lehrern sagen, dass dies falsch ist. Obwohl Sie die Gerätesperre nach einiger Zeit der Inaktivität und vielen anderen Dingen einrichten können, gibt es keine effektive Möglichkeit, die Weitergabe des Kennworts an Personen zu beenden, die das Kennwort nicht haben sollten. Außerdem sollten sie die Passwörter regelmäßig ändern.

Aber ich sehe das Ganze so: Es gibt keine Möglichkeit, den Hacker (Studenten) aufzuhalten, Sie können sie nur das Hacken erschweren.

Richten Sie ein Captive-Portal ein, das RFC 6238 wie Google Authenticator (GA) verwendet ( https://github.com/google/google-authenticator). GA hat ein PAM-Modul. Lassen Sie jeden Mitarbeiter die App installieren und kommen Sie dann persönlich zu Ihrem IT-Büro, um sein Konto mit der App einzurichten (zu synchronisieren).

Verwenden Sie das Authentifizierungstoken entweder als einzigen oder als zweiten Faktor. Wenn die QR-Codes oder Geheimnisse durchgesickert sind, sind Sie wieder im Chaos, aber Sie sollten in der Lage sein, dies einzudämmen.

Sie können auch urQui ( http://urqui.com/web) verwenden /) anstelle von Google Authenticator

Ich werde empfehlen, das zu tun, was die meisten öffentlichen Wi-Fi-Quellen tun, und eine Authentifizierung über eine Website mit individuellen Benutzernamen und Passwörtern erfordern. Verwenden Sie auch ein WPA -Kennwort, wenn Sie einen gewissen Schutz vor gelegentlichem Schnüffeln bieten möchten.

Dies ist speziell über den kostenlosen DD-WRT -Router verfügbar durch Software namens ChiliSpot. Sie können dann einen Drittanbieter verwenden, um die Authentifizierung von Benutzern durchzuführen.

ChilliSpot ist ein Open Source Captive_Portal-Controller für drahtlose oder LAN-Zugriffspunkte. Es wird zur Authentifizierung von Benutzern verwendet. Es unterstützt die webbasierte Anmeldung, die heute der Standard für öffentliche HotSpots ist. Die Authentifizierung, Autorisierung und Abrechnung (AAA) wird von einem Online-Anbieter oder einem von Ihnen bereitgestellten lokalen Radiusdienst durchgeführt.

Jeder Lehrer verfügt dann über ein individuelles Login. Während Passwörter möglicherweise immer noch "lecken", können Sie leicht jedes Passwort für einen Benutzer ändern, da der Dienst auch Buchhaltung anbietet und Sie feststellen würden, welche Person für das Durchsickern des Passworts verantwortlich war. Im Moment bin ich mir sicher, dass die Änderung des vorinstallierten Schlüssels ein großer Schmerz ist, da er so vielen Menschen mitgeteilt werden muss. Ich vermute, dass Sie dies nicht sehr oft tun. Außerdem fühlt sich das Eingeben eines Benutzernamens und eines Passworts eher wie ein Hacking an, als nur ein WPA-Passwort zu teilen (was die Leute ständig tun). Selbst diese eine Änderung wird wahrscheinlich den Missbrauch verringern, selbst wenn ein einzelnes Login durchgesickert ist.

Ich werde die Filterung von MAC-Adressen ablehnen, da dies jedes Mal ein Alptraum für die Wartung ist, wenn ein Lehrer eine neue Verbindung herstellen möchte Gerät an das Netzwerk. Es könnte natürlich gemacht werden, scheint aber mehr Ärger als es wert ist. Auch das Spoofing von MAC-Adressen ist relativ trivial, und wenn es einmal entdeckt wurde, ist es nur eine Frage der Zeit, bis alle wissen, wie es geht.

Ich gehe davon aus, dass Sie bereits an die Option "Durchsetzung" gedacht und diese aus eigenen Gründen abgelehnt haben. Gut. Ich hoffe, dass die Schulen nicht weiter wie Gefängnisse als Lernorte sind.

Finden Sie einen Weg, das Passwort nicht herauszugeben. Ich habe keine Erfahrung mit diesem Tool, aber SpiceWorks hat ein kostenloses Programm zur Verwaltung mobiler Geräte unter http://www.spiceworks.com/free-mobile-device-management-mdm-software/. Verwenden Sie diese Option, um das WPA2-Kennwort an alle Computer zu verteilen, die zur Verbindung berechtigt sind. Wenn ein Schüler das Installationsprogramm in die Hände bekommt, hilft dies ihm nicht, da Sie es so einrichten können, dass das Gerät genehmigt werden muss, bevor es das Kennwort erhält.

802.1X

IEEE 802.1X ist ein Standard für die portbasierte Netzwerkzugriffskontrolle (PNAC). Er bietet einen Authentifizierungsmechanismus für Geräte, die eine Verbindung zu einem LAN oder WLAN herstellen möchten.

Es gibt verschiedene Möglichkeiten, wie es eingerichtet werden kann, sodass Sie sich mit Ihren Geräten und Anforderungen befassen müssen. Ein typischer Anwendungsfall ist jedoch, wenn Sie ein MS ActiveDirectory mit all Ihren Benutzern haben ( Mitarbeiter) mit AD-Konten. Anschließend können Sie einen RADIUS-Server einrichten und Benutzer können sich mit ihren normalen Domänenanmeldeinformationen authentifizieren, um Zugriff auf das Netzwerk zu erhalten.

Hier ist eine andere Strategie. Nehmen wir zunächst Folgendes an:

1. Jedes Passwort, das Sie Lehrern geben, wird durchgesickert, solange die Lehrer keine Motivation haben, ihre Passwörter nicht weiterzugeben.
2. Sobald ein Passwort durchgesickert ist, wird es übertragen weit über Mundpropaganda
3. Die Durchsetzung / Aktion gegen Schüler wegen der Verwendung geliehener Passwörter ist schwierig.
4. Wir versuchen, den durchschnittlichen Schüler und keinen wirklich motivierten Hacker zu stoppen.
5. Eine statische Liste von MACs ist zu restriktiv und kann sowieso gefälscht werden.
6. Wenn Sie eine dynamische MAC-Liste haben, ist es eine Menge Arbeit, Geräte hinzuzufügen, und außerdem kann sie sowieso gefälscht werden.
7. Sie interessieren sich nicht wirklich für den seltsamen Kerl oder melden sich zu unrechtmäßig an, solange sich nicht so viele Kerle anmelden, um Ihre Bandbreite zu überschwemmen.
ol>

Die einzige Lösung, die meiner Meinung nach zum Anwendungsfall passt, ist ein häufig wechselndes Passwort. Zugegeben, das könnte etwas schwierig zu implementieren sein, aber nicht unmöglich.

Lassen Sie uns zuerst überlegen, was für Ihren Anwendungsfall funktionieren könnte, und dann können wir uns Gedanken darüber machen, wie es implementiert werden soll. Was Sie brauchen, ist ein System, das ein Passwort mit einem Ablauf generiert. Angenommen, Sie senden jeden Tag, wenn jemand versucht, sich anzumelden, einen Passcode, der 8 Stunden lang funktioniert, über ein Off-Channel-Medium, das funktionieren würde. z.B. Verwenden Sie eine SMS / Textnachricht, um ihnen den Passcode zu senden. Handys sind allgegenwärtig. Fast alle Ihre Mitarbeiter werden sie haben. Auf der positiven Seite muss das Passwort jetzt nicht mehr sehr lang und hart sein. Ein 4-stelliger oder 6-stelliger Nummerncode sollte für die meisten Zwecke ausreichen.

Selbst wenn ein Lehrer versehentlich oder absichtlich ein Passwort preisgibt, ist der Schaden in diesem System minimal, da die Anzahl der unzulässigen Benutzer, die das Passwort innerhalb von 8 Stunden erhalten können, begrenzt ist. Und das Passwort ist danach nicht mehr gut.

Machen Sie den Bösen im Grunde das Leben schwerer.

Wenn Sie die Situation verschlimmern möchten, können Sie auch festlegen, dass ein Passcode nur für ein Gerät gültig ist.

Implementierung: Ich bin nicht sicher, wie die Systeme heißen, aber ich habe dies bereits an Flughäfen (insbesondere außerhalb der USA) und an anderen öffentlichen Orten gesehen. Ich muss meine Handynummer eingeben und den Bedingungen auf der Anmeldeseite zustimmen, die mir angezeigt werden, wenn ich versuche, mich in ein WiFi-Netzwerk einzuloggen. Anschließend sendet mir das System auf meinem Handy eine Textnachricht mit dem für die Anmeldung erforderlichen Passcode.

Senden der Textnachrichten: Mit so etwas wie Twilio oder den Dutzenden anderer SMS-APIs, die online die eigentliche Nachricht versenden, sollte es nicht so schwer sein. Bei weniger als einem Cent pro gesendeter Nachricht sollte dies Ihr Budget nicht überfordern.

Alternative zu Textnachrichten: Verwenden Sie einen zeitbasierten PIN-Code-Generator wie einen dieser RSA-Anhänger oder sogar einen Googles-eigenen Authentifikator. Das Programmieren und Integrieren dieser Art von Lösung in Ihre Lösung ist jedoch möglicherweise nicht trivial.

Sie nähern sich dem Problem auf die falsche Weise und machen sich selbst (und die Institution im Allgemeinen) zum Feind. Die Studentenschaft ist insgesamt schlauer und verfügt über mehr Ressourcen. Vergessen Sie auch nicht, für wen Sie arbeiten.

Wenn ich an Ihrer Stelle wäre, würde ich den einfachen Weg gehen - ein völlig offenes Studenten-WLAN-Netzwerk. Ja, Sie haben das richtig gelesen - überhaupt keine Einschränkungen.

Durch die Art und Weise, wie Sie es "steuern", wird bekannt, dass das Netzwerk überwacht wird. Und jeder "ungewöhnliche" Verkehr wird auf der Schulwebsite für alle sichtbar veröffentlicht.

Sie schließen Informationsalterklassen ein, ja? Wie funktionieren Netzwerke, das Knacken von Passwörtern, die Informationssicherheit, die Analyse des Betrugs des Monats usw.? Wenn nicht, scheitern Sie an Ihrer Arbeit als Pädagoge. Wir sind weit im 21. Jahrhundert, dies erfordert Wissen und ist wichtiger als die lange Spaltung oder die Französische Revolution. Ihre Telefone teilen sich bereits.

Das menschliche Problem (Social Engineering)

Sie haben Lehrer, die den Schülern beiläufig Passwörter aushändigen. Die erste Gruppe, die Sie über die Nutzung des Netzwerks informieren müssen, sind Ihre Lehrer. Andernfalls sind weitere Sicherheitsmaßnahmen sinnlos.

Vorausgesetzt, Sie verwenden ein sicheres Kennwort für den WLAN-Schlüssel und verwenden WPA2 (nicht WEP oder sogar WPA, sondern WPA2), ist das drahtlose Netzwerk nicht Es ist besonders einfach, in sie einzubrechen.

Dies bedeutet, dass Ihre Lehrer Ihren Schülern das Passwort entweder direkt und absichtlich oder durch eine laxe Behandlung der Sicherheit (Aufschreiben des Passworts, Entsperren von Computern usw.) geben .)

Es gibt viele andere Antworten, die sich mit Themen wie MAC-Adressfilterung (sinnlos), eindeutigen Konsequenzen für den Missbrauch des Netzwerks usw. befassen.

Einige Antworten befassen sich auch mit der Möglichkeit von Geben Sie den Schülern ein eigenes Netzwerk zur Verwendung.

Die technische Lösung

Einige Antworten haben Variationen beim Einrichten eines sicheren Netzwerks vorgeschlagen. Dies kann mit relativ geringem Aufwand erfolgen und kann problemlos erweitert werden, um mehrere Netzwerke für unterschiedliche Zwecke bereitzustellen (Lehrer- / Administratornetzwerk für vertrauliche Inhalte, Schülernetzwerk für Chromebooks im Klassenzimmer und möglicherweise sogar eingeschränkte Nutzung der eigenen Geräte der Schüler).

Wenn Sie über Active Directory (einen Windows-Server) oder einen Linux-SAMBA-Server verfügen, können Sie die WPA-Enterprise-Authentifizierung in Ihrem drahtlosen Netzwerk einrichten.

Außerdem können Sie relativ kostengünstige Zugriffspunkte bereitstellen, die miteinander kommunizieren und es Ihnen ermöglichen, mehrere SSIDs (mehr als ein drahtloses Netzwerk) in jeweils einem separaten VLAN bereitzustellen. Jedes VLAN ist ein separates Netzwerk und kann nur über einen Router mit anderen VLANs kommunizieren. Auf diesem Router legen Sie Firewall-Regeln fest, um zu steuern, was mit was kommunizieren kann. Ein Netzwerk kann WPA-Enterprise verwenden, während ein anderes WPA2 verwendet, oder es ist geöffnet, erzwingt jedoch die Authentifizierung über ein Captive-Gastportal und eine Firewall, die Verbindungen zum Administrationsnetzwerk verhindert.

Gewähren Sie den Schülern lediglich eine Netzwerkverbindung Eine eigene Domäne kann die Anzahl der Personen verringern, die daran interessiert sind, gegen Richtlinien zu verstoßen und ihre Noten oder ihre Sommer zu riskieren, um in das sensible Verwaltungsnetzwerk einzudringen.

Ich versuche nicht, eine bestimmte Ausrüstung zu verkaufen, aber Als nur ein Beispiel können Sie Ubiquiti Unifi-APs für jeweils weniger als 70 US-Dollar erwerben. Sie können bis zu vier SSIDs bedienen. Die Controller-Software ist "kostenlos" und läuft unter Windows oder Linux. Sie enthält ein Gastportal, über das Besucher (auch als "Studenten" bezeichnet) sich einzeln anmelden können, um auf das Netzwerk zugreifen zu können. Sie können so viele davon bereitstellen, wie Sie benötigen, um eine ausreichende Funkabdeckung zu erzielen, und Geräte / Laptops können nahtlos zwischen allen APs wechseln. Da es sich um PoE-Geräte handelt, benötigen sie zum Funktionieren lediglich ein Ethernet-Kabel. http://www.amazon.com/Ubiquiti-Networks-UniFi-Enterprise-System/dp/B004XXMUCQ

Sie können einen echten Router für 100 US-Dollar erwerben, der über die Routing-Engine nahezu Gigabit pro Sekunde überträgt (tatsächlich für 50 US-Dollar mit etwas geringerem Durchsatz, wenn Sie die Version "Little Brother" erhalten und ja, ich denke an eine bestimmte Marke). Jeder dieser kleinen Router bietet Ihnen eine einzige Internetverbindung (oder redundante Verbindungen, wenn Sie dies bevorzugen) und die Möglichkeit, das Netzwerk in mehrere VLANs zu segmentieren und die Kommunikation zwischen diesen Segmenten zu steuern und jedem Netzwerksegment einen anderen DHCP-Server zu präsentieren. Sie können also alle Schülerverbindungen über einen Proxyserver leiten, der Aktivitäten protokolliert und nach hinterhältigen / unangemessenen Dingen sucht, wenn Sie dies möchten.

Sie können einen 8-Port-verwalteten ("intelligenten") Gigabit erhalten Ethernet-Switch mit ausreichender VLAN-Unterstützung für 30 US-Dollar oder eine 24-Port-Version des Switch für 80 US-Dollar. Für den Umfang und das Budget, mit dem Sie zu tun haben, müssen Sie nicht Tausende von Dollar pro Gerät ausgeben, um erstklassige HP Procurve- oder Cisco-Switches und super teure drahtlose Geräte mit dedizierten Hardware-Controllern zu verwenden . Die sind großartig, verstehen Sie nicht falsch, aber wenn es nicht im Budget ist, dann ist es nicht im Budget.

Für ein paar hundert Dollar jemand mit ein bisschen Netzwerkwissen und Durch den Zugriff auf Online-Dokumentation und -Foren kann ein robustes Netzwerk eingerichtet werden.

Sie sollten den Lehrern dies mitteilen, damit sie den Schülern keine Passwörter geben und dann das WPA2-Enterprise-Schema anwenden.

Es gibt viele gute Antworten zur Verwendung von WPA Enterprise, die der richtige Weg ist, um Wifi-Netzwerke mit mehreren Benutzern zu sichern. Captive-Portale würden auch funktionieren, und ich bezweifle, dass mehr als ein paar Studenten sich die Mühe machen würden, MAC-Adressen und Cookies zu fälschen, um dies zu umgehen.

Der Wechsel zu kabelgebundenem Ethernet ist meine Lieblingsantwort. Es ist bekannt, dass die Anwesenheit von Wifi negative Auswirkungen auf die Gesundheit der Menschen hat. Die Antworten zur Disziplinierung von Schülern sind ebenfalls gut.

Die Frage ist, wie Schüler vom WiFi-Netzwerk ferngehalten werden können. Meine Antwort ist, dass sie nicht daran teilnehmen wollen. b> Dies ist eine Schule. Es ist für die Bildung. Filtern Sie alle nicht-pädagogischen Inhalte im gesamten Netzwerk während der Schulzeit. Dies würde verhindern, dass sowohl Lehrer als auch Schüler während der Schulzeit vermasseln. Dies könnte mit einer weißen Liste von Bildungsdiensten geschehen, die alle bekannten nicht-pädagogischen Inhalte blockiert, möglicherweise einschließlich des gesamten nicht auf der weißen Liste stehenden SSL / TLS-Verkehrs, und alles drosselt, was 1 KB / s unbekannt ist. Multimedia-Inhalte scheinen das zu sein, was viele Schüler verwenden. 1 KB / s würde dem ein Ende setzen. Lehrer können im Voraus eine E-Mail senden und anfordern, dass Websites entsperrt werden. Nach einer Weile würde eine schöne Sammlung von Bildungsstätten erlaubt sein. Die Lehrer werden wahrscheinlich verärgert sein, dass youtube.com nicht funktioniert. Erklären Sie den Lehrern, dass Videos im Voraus mit einem der verschiedenen Video-Downloader heruntergeladen werden müssen.

Wenn eine begrenzte Anzahl von Lehrern vollen ungefilterten Zugriff benötigt, verwenden Sie einen HTTP / HTTPS-Proxy mit einem Kennwort (oder einem anderen Kennwort) pro Lehrer) könnte für diese Lehrer eingerichtet werden. Tatsächlich ist das Einrichten des gesamten Netzwerks so, dass ein Proxy zum Erlöschen erforderlich ist, eine Alternative zum Sichern des WLANs.

Mir ist klar, dass diese Idee gegen das verstößt, was Unternehmen wie Google wollen, wo ihre Produkte (wie Chromebooks) in einem gefilterten Netzwerk überhaupt nicht funktionieren, es sei denn, Sie entsperren YouTube (was praktisch alles in Bezug auf Unterhaltung ist). Möchten Sie, dass die Schule für Bildung ist oder dass große Unternehmen versuchen, Lehrer zu umgehen und Inhalte direkt an Schüler zu liefern?

Eine andere Möglichkeit, Dinge zu filtern b>, besteht darin, sie teilweise zu filtern Erlaube es, aber breche es auf irgendeine Weise. Youtube tut dies, wenn sie etwas zensieren wollen. Sie werden es nicht von Youtube entfernen, aber sie werden dafür sorgen, dass es nicht in den zugehörigen Videos angezeigt wird. Dies verhindert, dass Leute von Youtube wegschalten, wo die Dinge genauso zensiert sind, während die meisten Leute es nicht sehen können. Sie können alle MAC-Adressen von Apple-Produkten (wie iPhones) nach dem Zufallsprinzip der Liste mit einer Drosselung von 5 KB / s zuweisen, vorausgesetzt, die Computer der Lehrer sind nicht Apple. Sie können alle Lehrer auffordern, ihre Geräte auszuschalten. Überwachen Sie dann alle verwendeten MAC-Adressen und weisen Sie diese der Filter- oder Blockliste zu oder drosseln Sie sie auf 5 KB / s. Einige Schülergeräte funktionieren weiterhin und es wird lange dauern, bis sie herausgefunden haben, was los ist.

Sie können Websites überwachen, von denen Sie wissen, dass nur Schüler aktiv sind, und sie dann basierend auf MAC-Adressen blockieren. Die meisten &-Gerätekombinationen der Schüler verhindern, dass sich die MAC-Adresse ändert. Irgendwann wird wahrscheinlich jemand herausfinden, wie das Gefängnis kaputt geht, und so müssen netzwerkweite Filterung, kabelgebundenes Ethernet oder WPA Enterprise bereitgestellt werden.