Problem ludzki (inżynieria społeczna)
Nauczyciele od niechcenia wręczają uczniom hasła. Pierwszą grupą, którą musisz przeszkolić w zakresie korzystania z sieci, są nauczyciele. W przeciwnym razie dalsze środki bezpieczeństwa są bezcelowe.
Zakładając, że używasz silnego hasła do klucza WiFi i używasz WPA2 (nie WEP ani nawet WPA, ale WPA2), sieć bezprzewodowa jest nie szczególnie łatwe do włamania.
Co oznacza, że nauczyciele przekazują hasło swoim uczniom, bezpośrednio i celowo lub poprzez luźne podejście do bezpieczeństwa (zapisywanie hasła, pozostawienie odblokowanych komputerów itp. .)
Istnieje wiele innych odpowiedzi dotyczących takich rzeczy, jak filtrowanie adresów MAC (bezcelowe), ustalanie jasnych konsekwencji niewłaściwego użytkowania sieci itp.
Niektóre odpowiedzi dotyczą również możliwości udostępnianie uczniom własnej sieci do wykorzystania.
Rozwiązanie techniczne
W kilku odpowiedziach sugerowano różne warianty konfiguracji bezpiecznej sieci. Można to zrobić przy stosunkowo niewielkiej inwestycji i można je łatwo rozszerzyć, aby zapewnić wiele sieci do różnych zastosowań (sieć nauczyciela / administratora dla wrażliwych rzeczy, sieć studencka dla Chromebooków w klasie, a może nawet ograniczone wykorzystanie własnych urządzeń uczniów).
Jeśli masz Active Directory (serwer Windows) lub Linux SAMBA, możesz skonfigurować uwierzytelnianie WPA-Enterprise w swojej sieci bezprzewodowej.
Ponadto można wdrożyć stosunkowo niedrogie punkty dostępowe, które komunikują się ze sobą i umożliwiają obsługę wielu identyfikatorów SSID (więcej niż jednej sieci bezprzewodowej), każdy w oddzielnej sieci VLAN. Każda sieć VLAN jest oddzielną siecią i nie może komunikować się z innymi sieciami VLAN poza routerem, więc router jest miejscem, w którym ustanawia się reguły zapory, aby kontrolować, co może się komunikować z czym. Jedna sieć może korzystać z WPA-Enterprise, podczas gdy inna korzysta z WPA2 lub jest otwarta, ale wymusza uwierzytelnianie za pośrednictwem dostępnego portalu dla gości i zapory ogniowej uniemożliwiającej połączenia z siecią administratora.
Po prostu przyznanie studentom połączenia sieciowego własna domena może zmniejszyć liczbę tych, którzy są zainteresowani łamaniem polityki i ryzykowaniem ich ocen lub wakacji, aby włamać się do wrażliwej sieci administracyjnej.
Nie próbuję sprzedawać żadnego konkretnego sprzętu, ale jako tylko jeden przykład możesz dostać punkty dostępowe Ubiquiti Unifi za mniej niż 70 USD za sztukę. Mogą obsługiwać do czterech identyfikatorów SSID, a oprogramowanie kontrolera jest „bezpłatne” i działa w systemie Windows lub Linux i zawiera portal dla gości, umożliwiający wymaganie od odwiedzających (zwanych „studentami”) indywidualnego logowania się w celu uzyskania dostępu do sieci. Możesz wdrożyć tyle z nich, ile potrzebujesz, aby uzyskać odpowiedni zasięg sieci bezprzewodowej, a urządzenia / laptopy będą płynnie wędrować między wszystkimi punktami dostępowymi. Są to urządzenia PoE, więc wszystko, czego potrzebują do działania, to kabel Ethernet. http://www.amazon.com/Ubiquiti-Networks-UniFi-Enterprise-System/dp/B004XXMUCQ
Możesz kupić prawdziwy router za 100 USD, który będzie przepychał przez silnik routingu prawie gigabit na sekundę (w rzeczywistości za 50 USD z nieco mniejszą przepustowością, jeśli otrzymasz wersję „młodszego brata” i tak myślę o konkretnej marce). Każdy z tych małych routerów zapewnia pojedyncze połączenie internetowe (lub połączenia nadmiarowe, jeśli wolisz) oraz możliwość segmentowania sieci na wiele sieci VLAN i kontrolowania komunikacji między tymi segmentami oraz prezentowania innego serwera DHCP w każdym segmencie sieci. Więc możesz skierować wszystkie połączenia uczniów przez serwer proxy, który rejestruje aktywność i obserwuje podstępne / nieodpowiednie rzeczy, jeśli tego chcesz.
Możesz uzyskać zarządzany („inteligentny”) port Gigabit z 8 portami Przełącznik Ethernet z pełną obsługą sieci VLAN za 30 USD lub 24-portowa wersja przełącznika za 80 USD. Biorąc pod uwagę skalę i budżet, z jakim masz do czynienia, nie musisz wydawać tysięcy dolarów na urządzenie, aby korzystać z najwyższej półki przełączników HP Procurve lub Cisco oraz bardzo drogich urządzeń bezprzewodowych z dedykowanymi kontrolerami sprzętowymi . Są świetne, nie zrozumcie źle, ale jeśli nie ma ich w budżecie, to nie ma ich w budżecie.
Za kilkaset dolarów ktoś z odrobiną wiedzy na temat sieci i dostęp do dokumentacji online i forów mógłby stworzyć solidną sieć.