Egzekwuj konsekwencje dla uczniów znalezionych w sieci

Pierwszą rzeczą, którą musisz zrobić, jest zapewnienie pisemnej polityki określającej, jakie urządzenia są dozwolone w sieci. Jeśli jednak nie jesteś konsekwentny w egzekwowaniu swojej polityki, jest to bezużyteczne.

Powinno to również obejmować zasady użytkowania nauczycieli, w tym blokowanie ich komputerów, gdy nie są obecni przy maszynie. Możesz także użyć Zasady grupy, aby uniemożliwić użytkownikom przeglądanie hasła Wi-Fi.

Środki techniczne

Poniżej przedstawiono różne opcje ograniczenia korzystanie z urządzeń uczniów w sieci szkolnej. Najbardziej efektywny jest WPA2-Enterprise. Pozostałe są uwzględnione, ponieważ mogą być wystarczająco skuteczne w ograniczaniu nieautoryzowanego dostępu studentów i, w zależności od konkretnej sieci, mogą być łatwiejsze do wdrożenia.

Jednak pytanie sugeruje, że uczniowie są w głównej sieci organizacji. Tylko WPA2-Enterprise zapewni odpowiednią ochronę Twojej sieci przed atakiem nieautoryzowanego urządzenia. Gdy PSK jest już znany, uczeń może podsłuchiwać ruch sieciowy nauczyciela i prawdopodobnie przechwytywać wiadomości e-mail i skróty systemu Windows. Ponadto złośliwy użytkownik może rozpocząć bezpośrednie atakowanie innych maszyn.

WPA2-Enterprise

Najlepszym rozwiązaniem byłoby wdrożenie WPA2-Enterprise, zamiast używania klucza współdzielonego (WPA2- PSK). Umożliwia to wystawianie indywidualnych poświadczeń. Jest to realizowane poprzez zainstalowanie certyfikatów klienta na każdym komputerze. Wymaga to sporo inżynierii i nie jest trywialne do skonfigurowania w większych środowiskach. Ta strona zawiera dobre wskazówki dotyczące wdrażania WPA2-Enterprise.

Captive Portal

Jak wspomniał @Steve Sether, portal dostępowy Chillispot może być używany do uwierzytelniania użytkowników po ich połączeniu z siecią. Chociaż nie mam dowodów, na które mógłbym wskazać, podejrzewam, że taki portal można ominąć, podszywając się pod adresy MAC i IP. Jednak powoduje to trudność i będzie łatwiejsze w zarządzaniu niż filtrowanie adresów MAC na wielu urządzeniach.

Filtrowanie adresów MAC

Jak wspomniałeś, adresy MAC mogą być sfałszowane, więc skuteczność filtrowania adresów MAC jest ograniczona. Jednak wiele telefonów zapobiega fałszowaniu adresu MAC, więc rozwiąże to niektórych problematycznych użytkowników. Na przykład iPhone musi zostać odblokowany po jailbreaku, zanim będzie można zmienić adres MAC. Najtrudniejszą częścią korzystania z filtrowania adresów MAC będzie zarządzanie listą dozwolonych adresów MAC, zwłaszcza na wielu urządzeniach różnych producentów.

Twierdzę również, że korzystanie z filtrowania adresów MAC ma „legalną” korzyść lub portal przechwytujący. Twierdzenie, że użytkownik nie ma uprawnień dostępu do sieci, może być trudne, gdy hasło jest zapisane na tablicy. Jeśli jednak użytkownik musi jawnie ominąć ograniczenie bezpieczeństwa, masz mocniejsze argumenty przeciwko temu działaniu.

Używanie internetowego serwera proxy w celu zapobiegania nieautoryzowanemu użyciu protokołu HTTPS

Wdrażanie rozwiązania HTTPS który używa Twojego własnego klucza prywatnego. Możesz zainstalować odpowiedni certyfikat na komputerach organizacji, a one nie zauważą niczego innego (chociaż organizacja powinna nadal poinformować personel, że ma miejsce przechwytywanie HTTPS). Jednak nieautoryzowane urządzenia bez certyfikatu otrzymają nieprzyjemny komunikat o nieprawidłowym protokole HTTPS za każdym razem, gdy spróbują przeglądać bezpieczną stronę. Dodatkowo, ponieważ odszyfrowujesz ruch HTTPS, będziesz mógł monitorować ruch. Na przykład zobaczenie, którzy uczniowie logują się na Facebooku, pozwoli Ci bezpośrednio zwrócić się do tych uczniów.

Wiele implementacji kontroli treści oferuje możliwość odszyfrowania ruchu HTTPS. Jeśli szkoła ma już wdrożony mechanizm kontroli treści (taki jak Bluecoat lub Net Nanny), porozmawiaj ze swoim dostawcą o tym, jak wdrożyć tę funkcję.

Próbujesz rozwiązać zły problem.

Jest ich tysiące, a ty jesteś jeden. Ponieważ nie jesteś ekspertem od bezpieczeństwa (o ile rozumiem, przepraszam, jeśli się mylę) i oni też nie są, ale są hordą, po prostu przegrywasz , jeśli toczysz konwencjonalną wojnę.

@AviD dał świetną odpowiedź w komentarzu:

Oto nietechniczny pomysł: To jest szkoła, dobrze? Więc edukuj ich. Naucz ich, jak ważne są konsekwencje, dopuszczalny użytek, nielegalność hakowania ... i tak, właściwe korzystanie z internetu. To znaczy, daj im dostęp do oddzielnej filtrowanej sieci, jeśli zajdzie taka potrzeba, i stwórz program nauczania na ten temat. Zajęcia, bezpieczeństwo w Internecie, ścisłe przestrzeganie wszelkich AUP, itp ... Zapewnij im dostęp do sieci i używaj jej, aby nauczyć ich bycia dobrymi obywatelami internetu. I jak produktywnie korzystać z internetu, aby pomóc im w edukacji.

Nie tylko nie możesz wygrać wojny polegającej na uniemożliwieniu im dostępu, ale nawet jeśli to zrobisz , nic nie osiągniesz: nadal mają swoje urządzenia, będą się rozpraszać, tylko na różne sposoby .

Poza tym hakowanie nauczy ich cennych można powiedzieć, lekcje „rozwiązywania problemów”. Jeśli nie jest to problem, który chcesz, aby rozwiązali, znajdź lepsze, bardziej zabawne lub przydatne problemy.

Proszę zauważyć, że nawet jeśli było to wykonalne (chyba nie jest), zakazanie im w ogóle przyniesienia urządzeń również nie jest dobrym rozwiązaniem: muszą nauczyć się mieć urządzenia pod ręką i nie używać ich, zamiast tego postępować zgodnie z lekcją. Jeśli nie nauczą się tej lekcji, w przyszłości będą mieli ten sam problem zarówno w życiu społecznym, jak iw pracy .

Wreszcie, jeśli uda im się nie uczęszczać na Twoje lekcje i nadal uzyskiwać dobre oceny , problem może leżeć tutaj. Czy twoje testy są zbyt łatwe lub zbyt łatwe do oszukania? Czy twoje lekcje są bezużyteczne? O to chodzi. Z drugiej strony, jeśli nie zdadzą testów, mogą / powinni zdać sobie sprawę, że może podążanie za lekcjami pomoże im odnieść sukces…

Jak słusznie wskazuje DDPWNAGE:

To jest rok 2015, prawda? Moim zdaniem uczniowie powinni mieć ograniczony dostęp do internetu. Jeśli jesteś nauczycielem w szkole średniej, zapytaj szkołę, czy możesz uczyć w klasie o korzystaniu z Internetu i poproś o kilka podstawowych zajęć z informatyki. Coraz więcej dzieci interesuje się tymi przedmiotami, a język programowania nauczony w liceum może później uratować tysiące dzieciaków na studiach. W najbliższy piątek kończę HS i wychodzę z grą na iOS używającą Objective-C jako logiki. Po prostu pozwól dzieciom trzymać się tematu i mogą robić wspaniałe rzeczy.

Ethernet”

Zanim wszyscy, którzy mówią, że iPady nie mają portów Ethernet, zapalą mnie, jest to po prostu pojedyncza warstwa „zabezpieczeń”.

W większości przypadków nauczyciele powinni móc używać swoich laptopów z fizycznym kablem Ethernet BASE-100TX CAT5 + zwykłym starym fizycznym kablem.

Zmniejszysz powierzchnię ataku (ponieważ klawisze nie będą włączone laptopy nauczyciela).

Dodatkowo, gdyby uczniowie uzyskali dostęp do fizycznego CAT5, byłoby to trudniejsze do wykorzystania (widać fizyczne urządzenie podłączone do kabla, a większość telefonów nie ma gniazda RJ45).

Jeśli hasła wyciekają w ten sposób, możesz mieć większy problem niż ograniczenie dostępu do Wi-Fi. Wygląda na to, że dzieci mogą zrobić prawie wszystko, co nauczyciel może zrobić (w tym manipulować wynikami egzaminów?) I robią to rutynowo w Twojej lokalizacji.

Wygląda na to, że odrobina edukacji nauczyciela rozwiązałaby ten problem, po kilku pracach detektywistycznych w celu określenia źródła wycieku. Może to być zhakowany komputer lub router, a nie ludzki błąd, więc nie zalecam niczego drakońskiego. Zainstalowałbym trochę logowania lub dałbym nauczycielom indywidualne hasła (tymczasowo).

Może też ułatwić nauczycielom uzyskanie pomocy od osoby dorosłej lub korzystanie z kont gości, jeśli pomaga dzieciom?

• Daj każdemu autoryzowanemu użytkownikowi własne indywidualne hasło. Wtedy będziesz w stanie ocenić, skąd pochodzą wycieki (zakładając, że wyciekają, a nie pękają). (np. może się okazać, że trzeba nauczyć jednego z nauczycieli, aby nie zostawiał zapisanego hasła na swoim biurku).

• Skonfiguruj surowe reguły zapory, które blokują dostęp do większości internetu. Pozostaw tylko absolutne minimum dostępnych witryn. Uczniowie mogą zrezygnować z próby połączenia, jeśli nie daje im to dostępu do Facebooka (na przykład). Autoryzowani użytkownicy mogą łatwo zażądać odblokowania witryny, jeśli jej potrzebują. Blok można również skonfigurować tak, aby był stosowany tylko do połączeń bezprzewodowych, dzięki czemu nie będzie to przeszkadzać pracownikom administracyjnym, którzy przez cały dzień siedzą przy komputerze na biurku przez połączenie przewodowe.

Rozważ modernizację sprzętu

Wiem, że szukasz rozwiązania niedrogiego, ale pasujący zestaw punktów WAP klasy korporacyjnej i centralny kontroler może zapewnić sieć łatwiejsza. Porównaj to z kosztami obrony przed procesem sądowym o cyberprzemoc, nękanie pracownika lub ułatwianie fałszowania wyników testów ...

Używaj filtrowania adresów MAC

Zbieranie adresów MAC daje możliwość porozmawiania z każdym pracownikiem o Twoich oczekiwaniach co do zabezpieczenia ich konta i sprzętu. Lista adresów MAC, numerów seryjnych sprzętu i inne informacje o sprzęcie należącym do szkoły jest również ważna, aby udowodnić, że nie byłeś ofiarą kradzieży.

Uczyń DHCP jako przynętę

Przypisz urządzeniom członka personelu statyczne adresy IP z możliwego do zarządzania zakresu i zezwól im na dostęp do Internetu, jaki jest odpowiedni. Skonfiguruj DHCP, aby przydzielał adresy z innego zakresu dla nierozpoznanych adresów MAC, i skonfiguruj przekierowanie DNAT, aby jedyną rzeczą, jaką widzi użytkownik przychodząc z tego zakresu adresów IP, była statyczna strona internetowa z instrukcjami, jak z tobą rozmawiać:

„Ta sieć jest obsługiwana przez szkołę XXX i jest przeznaczona wyłącznie do autoryzowanego użytku akademickiego. Jeśli uważasz, że widzisz tę stronę przez pomyłkę, skontaktuj się z panem McQueenem w pokoju XXX.”

Egzekwuj konsekwencje

Jeśli uczniowie nie powinni mieć telefonów ani laptopów, wyegzekwuj to. Pierwsze wykroczenie, skonfiskuj urządzenie natychmiast, każ rodzicowi odebrać je. Drugie wykroczenie, to samo ćwiczenie, zawieszenie ucznia tak samo, jak gdyby ucznia złapano z narkotykami lub bronią. W przypadku uczniów, którzy muszą nosić telefon do / ze szkoły (jeśli jest to liceum, może potrzebują telefonu do pracy lub dojeżdżania do niego), poproś o zgłoszenie go do sekretariatu przed rozpoczęciem zajęć i sprawdź to później.

Musisz zwiększyć bezpieczeństwo ludzi, a nie techniczne. Hasło Wi-Fi jest wystarczająco dobre, prawdziwe pytania to „ Kto ujawnia hasła uczniom? ” i „ Jak ich zatrzymać? ”. Nie możesz mieć żadnych zabezpieczeń, jeśli osoby uprzywilejowane (pracownicy) udostępniają swoje dane uwierzytelniające tym, które próbujesz zablokować.

Ustawienie różnych haseł dla każdej osoby pomogłoby tylko jako takie, móc zablokować tych, którzy ujawnią swoje hasła. A potem stopniowo ucz ich ostrożności, stosując długą i kłopotliwą procedurę przywracania dostępu: D

// edit: Po ponownym przeczytaniu pytania zdaję sobie sprawę, że już powiedziałeś, w jaki sposób wyciekają hasła.

  Niektórzy nauczyciele nie czują się dobrze z technologią 

Więc mogę zaproponować Ci ekstremalne środki:

W takim razie zmień technologię! Wi-Fi jest skomplikowane i mylące. Zastąp go kablami. Kable są proste i łatwe do zrozumienia: wystarczy je podłączyć, światła zaczynają migać, a internet działa. Proszę zrozumieć, że nie zachęcam cię do fizycznego wyłączania Wi-Fi. Sugeruję tylko, aby większość nauczycieli nie używała go bezpośrednio, więc nie ma potrzeby znajomości hasła.

Jeśli nie możesz gdzieś dostać kabla, prosty punkt dostępu w trybie klienta zapewni gniazdo Ethernet. Hasło w panelu administratora bardzo utrudni ustalenie, w jaki sposób ten punkt dostępu autoryzuje Twoje „szkieletowe” Wi-Fi.

W przypadku Chromebooków i iPadów ustaw dedykowane Wi-Fi w pomieszczeniu, w którym się znajdują używany. Możesz zmienić jego hasło po każdych zajęciach i ogłosić nowe, gdy zaczną się następne.

Użyłbym WPA2-Enterprise, aby każdy używał własnej nazwy i hasła, a nie tylko hasła, które jest takie samo dla wszystkich. Aby skonfigurować WPA2-Enterprise, wystarczy mieć serwer RADIUS. Myślę, że najtańszą opinią jest zakup serwera NAS. Obsługuje wiele rzeczy, a czasem także RADIUS (polecam do tego Synology).

Alternatywą jest użycie jakiegoś systemu hotspot, aby wymagać logowania, ale nie wszystkie routery to obsługują i jest to dość drogie.

Wspomniany filtr MAC i pułapki DHCP nie są głównym zabezpieczeniem. Musi mieć zarejestrowane wszystkie adresy w routerach, więc nie ma możliwości zabrania własnego urządzenia. Następną rzeczą jest to, że filtr MAC i pułapki DHCP można złamać w około 5-15 minut.

Do ostatniego akapitu: ktoś powinien powiedzieć nauczycielom, że to źle. Chociaż możesz ustawić blokowanie urządzenia po pewnym czasie bezczynności i wiele innych rzeczy, nie ma skutecznego sposobu na zaprzestanie podawania hasła osobom, które nie powinny mieć hasła. Powinni też okresowo zmieniać hasła.

Ale ja widzę wszystko w ten sposób: nie ma sposobu, aby powstrzymać hakera (uczniów), możesz tylko utrudnić im włamanie.

Skonfiguruj portal dostępowy, który używa RFC 6238, na przykład Google Authenticator (GA) ( https://github.com/google/google-authenticator). GA ma moduł PAM. Niech każdy pracownik zainstaluje aplikację, a następnie osobiście przyjdzie do biura IT, aby założyć (zsynchronizować) swoje konto z aplikacją.

Użyj tokena uwierzytelniania jako jedynego lub drugiego czynnika. Jeśli kody QR lub sekrety wyciekną, wrócisz do chaosu, ale powinieneś być w stanie to powstrzymać.

Możesz także użyć urQui ( http://urqui.com/web /) zamiast Google Authenticator

Mam zamiar zalecić zrobienie tego, co robi większość publicznych źródeł Wi-Fi i wymaganie uwierzytelnienia za pośrednictwem witryny internetowej z indywidualnymi nazwami użytkownika i hasłami. Użyj również hasła WPA, jeśli chcesz, aby zapewnić pewną ochronę przed przypadkowym podsłuchiwaniem.

Jest to dostępne za pośrednictwem bezpłatnego routera DD-WRT, w szczególności za pomocą oprogramowania o nazwie ChiliSpot. Następnie możesz użyć zewnętrznego dostawcy do obsługi uwierzytelniania użytkowników.

ChilliSpot jest kontrolerem punktu dostępu do sieci bezprzewodowej lub LAN typu open source Captive_Portal. Służy do uwierzytelniania użytkowników. Obsługuje logowanie internetowe, które jest dzisiejszym standardem dla publicznych hotspotów. Uwierzytelnianie, autoryzacja i księgowanie (AAA) jest obsługiwane przez dostawcę on-line lub lokalną usługę radiową, którą zapewniasz.

Każdy nauczyciel miałby wtedy indywidualny login. Chociaż hasła mogą nadal „wyciekać”, można łatwo zmienić dowolne hasło jednego użytkownika, ponieważ usługa oferuje również księgowość i można dowiedzieć się, która osoba była odpowiedzialna za wyciek hasła. W tej chwili jestem pewien, że zmiana klucza współdzielonego jest dużym problemem, ponieważ trzeba go przekazać tak wielu osobom, więc sądzę, że nie robisz tego zbyt często. Ponadto wpisywanie nazwy użytkownika i hasła „wydaje się” bardziej jak włamanie niż zwykłe udostępnianie hasła WPA (co ludzie robią przez cały czas). Więc nawet ta jedna zmiana prawdopodobnie ograniczy nadużycia, nawet jeśli indywidualny login wycieknie.

Odradzam filtrowanie adresów MAC, ponieważ jest to koszmar konserwacyjny za każdym razem, gdy nauczyciel chce podłączyć nowy urządzenie do sieci. Można to oczywiście zrobić, ale wydaje się bardziej kłopotliwe niż warte. Również fałszowanie adresu MAC jest stosunkowo trywialne, a gdy zostanie odkryte, to tylko kwestia czasu, zanim wszyscy będą wiedzieli, jak to zrobić.

Zakładam, że pomyślałeś już o opcji „wymuszania” i odrzuciłeś ją z własnych powodów. Dobry. Mam nadzieję, że szkoły nie będą bardziej przypominać więzień niż miejsc do nauki.

Znajdź sposób, aby nie podawać hasła. Nie mam doświadczenia z tym narzędziem, ale SpiceWorks ma bezpłatny program do zarządzania urządzeniami mobilnymi pod adresem http://www.spiceworks.com/free-mobile-device-management-mdm-software/. Użyj go, aby rozesłać hasło WPA2 na wszystkie komputery, które są upoważnione do połączenia. Jeśli uczeń wpadnie w ręce instalatora, nie pomoże mu to, ponieważ możesz go skonfigurować tak, aby urządzenie musiało zostać zatwierdzone, zanim otrzyma hasło.

802.1X

IEEE 802.1X to standard kontroli dostępu do sieci w oparciu o porty (PNAC) - zapewnia mechanizm uwierzytelniania dla urządzeń, które chcą podłączyć się do sieci LAN lub WLAN.

Istnieją różne sposoby konfiguracji, więc będziesz musiał przyjrzeć się swojemu sprzętowi i potrzebom, ale typowym przypadkiem użycia jest sytuacja, gdy masz MS ActiveDirectory ze wszystkimi użytkownikami ( personel) posiadający konta AD. Następnie możesz skonfigurować serwer RADIUS, a użytkownicy będą mogli uwierzytelniać się przy użyciu swoich zwykłych poświadczeń domeny, aby uzyskać dostęp do sieci.

Oto inna strategia. Zacznijmy od następującego założenia:

1. Każde hasło, które podasz nauczycielom, wycieknie, o ile nauczyciele nie będą mieli motywacji, aby nie udostępniać swoich haseł
2. Kiedy hasło wycieknie, jest przenoszone szeroko za pośrednictwem poczty pantoflowej
3. Egzekwowanie / działanie przeciwko uczniom za używanie pożyczonych haseł jest trudne.
4. Próbujemy powstrzymać przeciętnego ucznia, a nie naprawdę zmotywowanego hakera.
5. Posiadanie statycznej listy adresów MAC jest zbyt restrykcyjne i i tak może zostać sfałszowane
6. Posiadanie jakiejkolwiek dynamicznej listy adresów MAC sprawia, że ​​dodawanie urządzeń wymaga codziennej pracy, a poza tym i tak można to sfałszować.
7. Tak naprawdę nie obchodzi Cię dziwny facet lub zbyt nielegalne logowanie, o ile nie tylu facetów loguje się, aby zablokować przepustowość

Biorąc pod uwagę to wszystko jedynym rozwiązaniem, które moim zdaniem pasuje do przypadku użycia, jest często zmieniające się hasło. Trzeba przyznać, że może to być trochę trudne do wdrożenia, ale nie niemożliwe.

Najpierw zastanówmy się, co może działać w Twoim przypadku użycia, a potem możemy się martwić, jak to zaimplementować. Potrzebujesz systemu, który generuje hasło z wygaśnięciem. Powiedzmy, że każdego dnia, gdy ktoś próbuje się zalogować, wysyłasz mu kod dostępu, który działa przez 8 godzin, za pośrednictwem zewnętrznego medium, które będzie działać. na przykład użyj wiadomości SMS / SMS, aby wysłać im kod dostępu. Telefony komórkowe są wszechobecne. Prawie wszyscy pracownicy będą je mieć. Z drugiej strony hasło nie musi teraz być bardzo długie i trudne. Do większości zastosowań wystarczy czterocyfrowy lub sześciocyfrowy kod numeryczny.

W tym systemie, nawet jeśli nauczyciel przypadkowo lub celowo poda hasło, szkody są minimalne, ponieważ liczba nielegalnych użytkowników, którzy mogą uzyskać hasło w ciągu 8 godzin, jest ograniczona. A potem hasło nie jest dobre.

Zasadniczo utrudnij życie złym ludziom.

Jeśli chcesz pogorszyć sytuację, możesz również sprawić, że jeden kod dostępu będzie ważny tylko dla jednego urządzenia.

Implementacja: nie jestem pewien, jak nazywają się te systemy, ale widziałem to już na lotniskach (szczególnie poza Stanami Zjednoczonymi) i w innych miejscach publicznych. Muszę podać swój numer telefonu komórkowego i wyrazić zgodę na warunki na stronie logowania, które są wyświetlane, gdy próbuję zalogować się do sieci WiFi, a następnie system wysyła mi wiadomość tekstową na mój telefon komórkowy z kodem dostępu potrzebnym do logowania.

Wysyłanie wiadomości tekstowych: Z czymś takim jak Twilio lub dziesiątkami innych SMS-ów online wysłanie rzeczywistej wiadomości nie powinno być takie trudne. Mniej niż jeden cent na wysłaną wiadomość nie powinien przeciążać Twojego budżetu.

Alternatywa dla wiadomości tekstowych: użyj generatora kodu PIN opartego na czasie, takiego jak jeden z tych breloków RSA, a nawet własny program uwierzytelniający Google. Ale zaprogramowanie tego rodzaju rozwiązania i zintegrowanie go z Twoim rozwiązaniem może nie być proste.

Podchodzisz do problemu w niewłaściwy sposób, czyniąc siebie (i ogólnie instytucję) wrogiem. Uczniowie są zbiorowo mądrzejsi i mają więcej zasobów. Nie zapominaj też, dla kogo (dla nich) pracujesz.

Gdybym był na twoim miejscu, wybrałbym prostą drogę - całkowicie otwartą studencką sieć Wi-Fi. Tak, dobrze przeczytałeś - żadnych ograniczeń.

Sposób, w jaki ją „kontrolujesz”, pozwala dobrze wiedzieć, że sieć jest monitorowana. Każdy „nietypowy” ruch zostanie opublikowany na stronie internetowej szkoły, aby wszyscy mogli go zobaczyć.

Uwzględniasz klasy informacyjne, tak? Jak działają sieci, łamanie haseł, bezpieczeństwo informacji, analiza miesiąca itp.? Jeśli nie, to nie radzisz sobie jako nauczyciel. Jesteśmy już w XXI wieku, jest to wiedza wymagana i ważniejsza niż długi podział czy rewolucja francuska. Ich telefony już się dzielą.

Problem ludzki (inżynieria społeczna)

Nauczyciele od niechcenia wręczają uczniom hasła. Pierwszą grupą, którą musisz przeszkolić w zakresie korzystania z sieci, są nauczyciele. W przeciwnym razie dalsze środki bezpieczeństwa są bezcelowe.

Zakładając, że używasz silnego hasła do klucza WiFi i używasz WPA2 (nie WEP ani nawet WPA, ale WPA2), sieć bezprzewodowa jest nie szczególnie łatwe do włamania.

Co oznacza, że ​​nauczyciele przekazują hasło swoim uczniom, bezpośrednio i celowo lub poprzez luźne podejście do bezpieczeństwa (zapisywanie hasła, pozostawienie odblokowanych komputerów itp. .)

Istnieje wiele innych odpowiedzi dotyczących takich rzeczy, jak filtrowanie adresów MAC (bezcelowe), ustalanie jasnych konsekwencji niewłaściwego użytkowania sieci itp.

Niektóre odpowiedzi dotyczą również możliwości udostępnianie uczniom własnej sieci do wykorzystania.

Rozwiązanie techniczne

W kilku odpowiedziach sugerowano różne warianty konfiguracji bezpiecznej sieci. Można to zrobić przy stosunkowo niewielkiej inwestycji i można je łatwo rozszerzyć, aby zapewnić wiele sieci do różnych zastosowań (sieć nauczyciela / administratora dla wrażliwych rzeczy, sieć studencka dla Chromebooków w klasie, a może nawet ograniczone wykorzystanie własnych urządzeń uczniów).

Jeśli masz Active Directory (serwer Windows) lub Linux SAMBA, możesz skonfigurować uwierzytelnianie WPA-Enterprise w swojej sieci bezprzewodowej.

Ponadto można wdrożyć stosunkowo niedrogie punkty dostępowe, które komunikują się ze sobą i umożliwiają obsługę wielu identyfikatorów SSID (więcej niż jednej sieci bezprzewodowej), każdy w oddzielnej sieci VLAN. Każda sieć VLAN jest oddzielną siecią i nie może komunikować się z innymi sieciami VLAN poza routerem, więc router jest miejscem, w którym ustanawia się reguły zapory, aby kontrolować, co może się komunikować z czym. Jedna sieć może korzystać z WPA-Enterprise, podczas gdy inna korzysta z WPA2 lub jest otwarta, ale wymusza uwierzytelnianie za pośrednictwem dostępnego portalu dla gości i zapory ogniowej uniemożliwiającej połączenia z siecią administratora.

Po prostu przyznanie studentom połączenia sieciowego własna domena może zmniejszyć liczbę tych, którzy są zainteresowani łamaniem polityki i ryzykowaniem ich ocen lub wakacji, aby włamać się do wrażliwej sieci administracyjnej.

Nie próbuję sprzedawać żadnego konkretnego sprzętu, ale jako tylko jeden przykład możesz dostać punkty dostępowe Ubiquiti Unifi za mniej niż 70 USD za sztukę. Mogą obsługiwać do czterech identyfikatorów SSID, a oprogramowanie kontrolera jest „bezpłatne” i działa w systemie Windows lub Linux i zawiera portal dla gości, umożliwiający wymaganie od odwiedzających (zwanych „studentami”) indywidualnego logowania się w celu uzyskania dostępu do sieci. Możesz wdrożyć tyle z nich, ile potrzebujesz, aby uzyskać odpowiedni zasięg sieci bezprzewodowej, a urządzenia / laptopy będą płynnie wędrować między wszystkimi punktami dostępowymi. Są to urządzenia PoE, więc wszystko, czego potrzebują do działania, to kabel Ethernet. http://www.amazon.com/Ubiquiti-Networks-UniFi-Enterprise-System/dp/B004XXMUCQ

Możesz kupić prawdziwy router za 100 USD, który będzie przepychał przez silnik routingu prawie gigabit na sekundę (w rzeczywistości za 50 USD z nieco mniejszą przepustowością, jeśli otrzymasz wersję „młodszego brata” i tak myślę o konkretnej marce). Każdy z tych małych routerów zapewnia pojedyncze połączenie internetowe (lub połączenia nadmiarowe, jeśli wolisz) oraz możliwość segmentowania sieci na wiele sieci VLAN i kontrolowania komunikacji między tymi segmentami oraz prezentowania innego serwera DHCP w każdym segmencie sieci. Więc możesz skierować wszystkie połączenia uczniów przez serwer proxy, który rejestruje aktywność i obserwuje podstępne / nieodpowiednie rzeczy, jeśli tego chcesz.

Możesz uzyskać zarządzany („inteligentny”) port Gigabit z 8 portami Przełącznik Ethernet z pełną obsługą sieci VLAN za 30 USD lub 24-portowa wersja przełącznika za 80 USD. Biorąc pod uwagę skalę i budżet, z jakim masz do czynienia, nie musisz wydawać tysięcy dolarów na urządzenie, aby korzystać z najwyższej półki przełączników HP Procurve lub Cisco oraz bardzo drogich urządzeń bezprzewodowych z dedykowanymi kontrolerami sprzętowymi . Są świetne, nie zrozumcie źle, ale jeśli nie ma ich w budżecie, to nie ma ich w budżecie.

Za kilkaset dolarów ktoś z odrobiną wiedzy na temat sieci i dostęp do dokumentacji online i forów mógłby stworzyć solidną sieć.

Powinieneś o tym powiedzieć nauczycielom, aby nie podawali uczniom haseł, a następnie stosowali schemat WPA2-Enterprise.

Istnieje wiele dobrych odpowiedzi na temat korzystania z WPA Enterprise, który jest właściwym sposobem zabezpieczenia sieci Wi-Fi z wieloma użytkownikami. Portale przechwytujące też by działały i wątpię, że więcej niż kilku studentom przeszkadzałoby sfałszowanie adresów MAC i plików cookie, aby to obejść.

Moją ulubioną odpowiedzią jest przejście na przewodową sieć Ethernet. Wiadomo, że obecność Wi-Fi ma zły wpływ na zdrowie ludzi. Odpowiedzi na temat dyscyplinowania uczniów też są dobre.

Pytanie brzmi, jak powstrzymać uczniów przed dostępem do sieci Wi-Fi. Odpowiadam, żeby nie chcieli tam być. To jest szkoła. To jest dla edukacji. Filtruj wszystkie treści nieedukacyjne w całej sieci w godzinach lekcyjnych. Zapobiegłoby to wygłupianiu się nauczycieli i uczniów w czasie zajęć szkolnych. Można to zrobić za pomocą białej listy usług edukacyjnych, blokując wszystkie znane treści nieedukacyjne, w tym prawdopodobnie cały ruch SSL / TLS spoza białej listy, i ograniczając wszystko, co jest nieznane, do 1 KB / s. Wydaje się, że treści multimedialne są używane przez wielu uczniów. 1KB / s położyłoby temu kres. Nauczyciele mogli z wyprzedzeniem wysłać e-mail z prośbą o odblokowanie witryn. Po jakimś czasie dozwolona byłaby ładna kolekcja witryn edukacyjnych. Nauczyciele prawdopodobnie będą zdenerwowani, że youtube.com nie działa. Wyjaśnij nauczycielom, że filmy należy pobrać wcześniej za pomocą jednego z kilku programów do pobierania filmów.

Jeśli ograniczona liczba nauczycieli potrzebuje pełnego, niefiltrowanego dostępu, użyj serwera proxy HTTP / HTTPS z hasłem (lub innym hasłem na nauczyciela) można skonfigurować dla tych nauczycieli. W rzeczywistości skonfigurowanie całej sieci tak, aby wymagała wyłączenia serwera proxy, jest alternatywą dla zabezpieczenia Wi-Fi.

Zdaję sobie sprawę, że ten pomysł jest sprzeczny z tym, czego chcą firmy takie jak Google, gdzie ich produkty (takie jak Chromebooki) w ogóle nie będą działać w filtrowanej sieci, chyba że odblokujesz youtube (co jest praktycznie wszystkim, jeśli chodzi o rozrywkę). Czy chcesz, aby szkoła służyła edukacji, czy też duże firmy próbowały omijać nauczycieli i dostarczać treści bezpośrednio do uczniów?

Innym sposobem filtrowania rzeczy jest częściowe pozwól na to, ale w jakiś sposób go zniszcz. Youtube robi to, gdy chcą coś cenzurować. Nie usuną go z YouTube, ale sprawią, że nie pojawi się w powiązanych filmach. Uniemożliwia to ludziom odejście od YouTube, gdzie rzeczy są tak samo ocenzurowane, jednocześnie uniemożliwiając większości ludzi zobaczenie tego. Możesz losowo przypisać wszystkie adresy MAC należące do produktów Apple (takich jak iPhone'y) do listy ograniczonej do 5KB / s, zakładając, że komputery nauczycieli nie są Apple. Możesz poprosić wszystkich nauczycieli o wyłączenie swoich urządzeń. Następnie monitoruj wszystkie adresy MAC, które są w użyciu i przypisz je do listy filtrów lub bloków lub ogranicz do 5 KB / s. Niektóre urządzenia uczniów będą nadal działać, a ustalenie, co się dzieje, zajmie im dużo czasu.

Możesz monitorować witryny, o których wiesz, że odwiedzają tylko studenci, a następnie blokować je na podstawie adresów MAC. Większość kombinacji urządzeń ucznia & zapobiega zmianie adresu MAC. W końcu ktoś prawdopodobnie odkryje włamanie do więzienia i takie i takie filtrowanie w całej sieci, przewodowy Ethernet lub WPA Enterprise będzie musiał zostać wdrożony.