The Human Problem (Ingegneria sociale)
Hai insegnanti che consegnano casualmente le password agli studenti. Il primo gruppo che devi educare all'uso della rete sono i tuoi insegnanti. Altrimenti, ulteriori misure di sicurezza sono inutili.
Supponendo che si stia utilizzando una password complessa per la chiave WiFi e utilizzando WPA2 (non WEP o WPA, ma WPA2), la rete wireless è non particolarmente facile da penetrare.
Questo significa che i tuoi insegnanti stanno dando la password ai tuoi studenti, sia direttamente che intenzionalmente, o attraverso un trattamento lassista di sicurezza (scrivendo la password, lasciando i computer sbloccati, ecc.)
Ci sono molte altre risposte che riguardano cose come il filtraggio degli indirizzi MAC (inutile), che stabiliscono chiare conseguenze per l'uso improprio della rete, ecc.
Alcune risposte riguardano anche la possibilità di fornire agli studenti la propria rete da utilizzare.
La soluzione tecnica
Alcune risposte hanno suggerito varianti di configurazione di una rete sicura. Questo può essere fatto con un investimento relativamente minimo e può essere facilmente esteso per fornire più reti per usi diversi (rete per insegnanti / amministratori per materiale sensibile, rete studentesca per i Chromebook in classe e magari anche per l'uso limitato dei dispositivi degli studenti).
Se disponi di Active Directory (un server Windows) o di un server SAMBA Linux, puoi configurare l'autenticazione WPA-Enterprise sulla tua rete wireless.
Inoltre, è possibile implementare punti di accesso relativamente convenienti che comunicano tra loro e consentono di servire più SSID (più di una rete wireless), ciascuno su una VLAN separata. Ogni VLAN è una rete separata e non può comunicare con altre VLAN se non attraverso un router, quindi il router è il punto in cui si stabiliscono le regole del firewall per controllare cosa può comunicare con cosa. E una rete può utilizzare WPA-Enterprise mentre un'altra utilizza WPA2, oppure è aperta ma forza l'autenticazione tramite un portale ospite in cattività e un firewall che impedisce le connessioni nella rete di amministrazione.
Il solo fatto di concedere agli studenti un proprio dominio connesso alla rete può ridurre il numero di coloro che sono interessati a infrangere le policy e rischiare i loro voti o le loro estati per entrare nella sensibile rete di amministrazione.
Non sto cercando di vendere particolari attrezzi, ma come solo un esempio puoi ottenere Ubiquiti Unifi AP per meno di $ 70 ciascuno. Possono servire fino a quattro SSID, e il software del controller è "gratuito" e funziona su Windows o Linux e include un portale ospite che consente ai visitatori (detti anche "studenti") di accedere individualmente per poter accedere alla rete. È possibile distribuire il maggior numero di questi di cui si ha bisogno per ottenere una copertura wireless adeguata e dispositivi / laptop gireranno senza problemi tra tutti gli AP. Sono dispositivi PoE, quindi tutto ciò di cui hanno bisogno per funzionare è un cavo Ethernet. link
Puoi ottenere un router reale a $ 100 che passerà vicino a un gigabit al secondo attraverso il motore di routing (in realtà, per $ 50 con un throughput leggermente inferiore se ottieni la versione "fratellino" e sì, sto pensando ad una marca particolare). Entrambi questi piccoli router offrono una singola connessione Internet (o connessioni ridondanti se si preferisce) e la possibilità di segmentare la rete in più VLAN e controllare le comunicazioni tra questi segmenti e presentare un server DHCP diverso per ciascun segmento di rete. In questo modo puoi indirizzare tutte le connessioni degli studenti attraverso un server proxy che registra attività e guarda per cose subdole / inappropriate se è quello che vuoi fare.
È possibile ottenere uno switch Gigabit Ethernet gestito (8 porte) con supporto VLAN pienamente adeguato per $ 30 o una versione a 24 porte dello switch per $ 80. Per la scala e il budget con cui hai a che fare, non avere per spendere migliaia di dollari per dispositivo per utilizzare gli switch HP Procurve o Cisco di fascia alta e dispositivi wireless super-costosi con controller hardware dedicati . Quelli sono grandi, non fraintendetemi, ma se non è nel budget, allora non è nel budget.
Per poche centinaia di dollari, qualcuno con un po 'di conoscenza della rete e l'accesso alla documentazione e ai forum online potrebbe creare una rete solida.