Cercando di tenere gli studenti delle scuole superiori fuori dalla rete Wi-Fi

77

Sono un insegnante e una persona IT in una piccola K-12 scuola.

Gli studenti non dovrebbero avere telefoni, laptop o accesso alla rete. Tuttavia, gli studenti essendo studenti cercheranno di trovare un modo per aggirare le regole.

Gli studenti riescono ad acquisire le password Wi-Fi praticamente non appena le cambiamo. Diventa un gioco per loro. Anche se non dovrebbero, porteranno i loro laptop e telefoni e useranno la rete. Uno di loro avrà la password e viaggerà come un incendio in tutta la scuola. A volte è semplice come scriverlo su un muro dove il resto degli studenti può ottenere la password aggiornata.

Che cosa possiamo fare per tenerli fuori dalla rete? Sto considerando di inserire indirizzi MAC , ma è molto laborioso, e non è ancora una garanzia di successo se falsificano l'indirizzo.

Qualcuno di voi ha qualche suggerimento?

Alcuni background:

Ci sono quattro router in un edificio di 50 anni (molti muri di cemento). Un router al piano di sotto e tre al piano di sopra. Sono marchi e modelli diversi (Netgear, Asus, Acer, D-Link) quindi nessuna amministrazione centrale.

La scuola ha circa 30 Chromebook e un numero simile di iPad. Gli insegnanti useranno i loro laptop (un mix di Windows Vista, Windows 7 e Windows 8 oltre a un certo numero di Mac OS X).

Alcuni insegnanti non sono affatto a loro agio con la tecnologia e lasceranno la stanza con le loro macchine accessibili agli studenti. Gli insegnanti spesso lasciano fuori la password o addirittura la danno agli studenti quando hanno bisogno di aiuto. Chiederanno aiuto agli studenti durante l'installazione di un proiettore, ad esempio, e lasciandoli lì, la sicurezza tornerà ancora una volta. Non appena l'insegnante è fuori dalla stanza, andranno alla barra delle applicazioni e guarderanno le proprietà del router Wi-Fi per ottenere la password.

    
posta Dave McQueen 19.06.2015 - 00:10
fonte

17 risposte

91

Applica le conseguenze per gli studenti trovati sulla rete

La prima cosa che devi fare è assicurarti di avere una politica scritta che illustri quali dispositivi sono consentiti sulla rete. Tuttavia, se non sei coerente nell'applicazione della tua politica, è inutile.

Questo dovrebbe anche coprire le politiche di utilizzo per gli Insegnanti, incluso il blocco dei loro computer quando non sono presenti sulla macchina. Puoi anche utilizzare Criteri di gruppo per impedire agli utenti di visualizzare la password WiFi.

Misure tecniche

Quanto segue è costituito da varie opzioni per limitare l'uso di dispositivi studente sulla rete scolastica. Il più efficace è WPA2-Enterprise. Gli altri sono inclusi perché possono essere abbastanza efficaci nel limitare l'accesso non autorizzato da parte degli studenti e, a seconda della particolare rete, potrebbero essere più facili da implementare.

Tuttavia, la domanda suggerisce che gli studenti siano nella rete principale dell'organizzazione. Solo WPA2-Enterprise protegge adeguatamente la tua rete da un attacco di un dispositivo non autorizzato. Una volta che un PSK è conosciuto, uno studente ha la capacità di annusare il traffico web dell'insegnante e possibilmente catturare gli e-mail e gli hash di Windows. Inoltre, un utente malintenzionato potrebbe iniziare ad attaccare direttamente altre macchine.

WPA2-Enterprise

La soluzione migliore sarebbe implementare WPA2-Enterprise, invece di usare una chiave pre condivisa (WPA2-PSK). Questo consente l'emissione di credenziali individuali. Questo è implementato installando i certificati client su ogni macchina. Ciò richiede un bel po 'di ingegneria e non è banale da configurare in ambienti più grandi. Questa pagina ha alcuni buoni consigli su come implementare WPA2-Enterprise.

Captive Portal

Poiché @Steve Sether menzionato, Chillispot Il captive portal può essere utilizzato per autenticare gli utenti una volta connessi alla rete. Anche se non ho prove a cui puntare, sospetto che un tale portale possa essere aggirato dallo spoofing degli indirizzi MAC e IP. Tuttavia, aumenta la difficoltà e sarà più facile da gestire rispetto al filtro MAC su più dispositivi.

Filtro indirizzi MAC

Come hai detto, gli indirizzi MAC possono essere falsificati, quindi l'efficacia del filtro degli indirizzi MAC è limitata. Tuttavia, molti telefoni impediscono lo spoofing dell'indirizzo MAC, quindi questo affronterà alcuni degli utenti problematici. L'iPhone per esempio, deve essere jailbroken prima che l'indirizzo MAC possa essere modificato . La parte più difficile dell'utilizzo del filtraggio degli indirizzi MAC sta gestendo l'elenco degli indirizzi MAC consentiti, in particolare su più dispositivi di vari fornitori.

Vorrei anche affermare che c'è un vantaggio "legale" nell'utilizzare il filtro degli indirizzi MAC o un Captive Portal. Può essere difficile pretendere che un utente non sia autorizzato ad accedere a una rete quando la password è scritta su una lavagna. Tuttavia, se un utente deve bypassare esplicitamente una restrizione di sicurezza, si ha un caso più strong contro l'attività.

Utilizzo di un proxy Internet per impedire usi non autorizzati di HTTPS

Implementa una soluzione HTTPS che utilizza la tua chiave privata. È possibile installare il certificato corrispondente sui computer dell'organizzazione e questi non noteranno nulla di diverso (anche se l'organizzazione dovrebbe comunque comunicare al personale che l'intercettazione HTTPS è in corso). Tuttavia, i dispositivi non autorizzati senza il certificato riceveranno un brutto messaggio su HTTPS non valido ogni volta che tentano di sfogliare una pagina protetta. Inoltre, dal momento che decifri il traffico HTTPS, sarai in grado di monitorare il traffico. Ad esempio, vedere quali studenti accedere a Facebook ti permetterà di indirizzare direttamente quegli studenti.

Molte implementazioni di Content Control offrono la possibilità di decodificare il traffico HTTPS. Se la scuola dispone già di un meccanismo di controllo dei contenuti (come Bluecoat o Net Nanny), parla con il tuo venditore su come implementare questa funzione.

    
risposta data 19.06.2015 - 00:28
fonte
52

Stai tentando di risolvere il problema sbagliato.

Sono migliaia e tu sei uno. Dato che non sei un esperto di sicurezza (per quanto ho capito, scusa se mi sbaglio) e non lo sono neanche ma sono un'orda, sei solo destinato a perdere se combatti una guerra convenzionale .

@AviD ha dato un'ottima risposta in un commento:

Here is a non-technical idea: This is a school, right? So educate them. Teach them the importance of consequences, acceptable use, the illegality of hacking... and yes, proper use of the internet. I mean, give them access, to a separate filtered network if need be, and create some curriculum around that. Classes, internet safety, strict compliance with whatever AUP, etc... Give them access to the network, and use it to teach them to be good internet citizens. And, how to use the internet productively, to assist in their education.

Non solo non puoi vincere la guerra per impedire loro di ottenere l'accesso, ma anche se lo fai , non avrai ottenuto nulla: hanno ancora i loro dispositivi, continueranno a esserlo distrarti, solo in modi diversi .

Inoltre, hacking insegnerai loro preziose lezioni, in "problem-solving", potremmo dire. Se questo non è il tipo di problema che vuoi risolvere, trova i problemi migliori, più divertenti o utili.

Notare che, anche se fosse fattibile (suppongo che non lo sia), escludere che portino i dispositivi non è una buona soluzione: hanno bisogno di imparare ad avere i dispositivi a portata di mano e di non usarli , seguendo invece la lezione. Se non imparano questa lezione, in futuro avranno lo stesso problema sia socialmente che al lavoro .

Infine, se riescono a gestire a non seguire le tue lezioni e ottenere comunque buoni voti , il problema potrebbe risiedere qui. I tuoi test sono troppo facili o troppo curabili? Le tue lezioni sono inutili? Questo è il punto. D'altra parte, se falliscono i test, potrebbero / dovrebbero rendersi conto che forse seguire le lezioni li aiuterà ad avere successo ...

Come DDPWNAGE indica correttamente:

This is 2015, right? In my opinion, students should be allowed limited access to the Internet. If you're a high school teacher, ask the school if you can teach a class about using the Internet, and teach some basic computing classes. A growing number of kids are taking interest in these subjects, and a programming language learned in high school can later save a kid thousands in college. I'm graduating from HS this coming Friday, and I'm coming out with an iOS game using Objective-C as logic. Just have kids stay on-topic, and they can do great things.

    
risposta data 19.06.2015 - 12:08
fonte
20

Ethernet

Prima di essere fiammato da tutti coloro che dicono che gli iPad non hanno porte Ethernet, questo è semplicemente un singolo livello di "sicurezza".

Nella maggior parte dei casi, gli insegnanti dovrebbero essere in grado di utilizzare il proprio laptop con un cavo fisico vecchio ethernet fisico BASE-100TX CAT5 +.

Avrai ridotto l'area della superficie di attacco (dato che le chiavi non saranno più sui laptop degli insegnanti).

Inoltre, se gli studenti dovessero accedere al CAT5 fisico, sarebbe più difficile sfruttarlo (si può vedere un dispositivo fisico collegato a un cavo e la maggior parte dei telefoni non ha un socket RJ45).

    
risposta data 19.06.2015 - 10:58
fonte
20

Se le password perdono in questo modo, potresti avere un problema più grande della limitazione dell'accesso WiFi. Sembra che i bambini possano fare quasi tutto ciò che un insegnante può fare (compresa la manipolazione dei risultati degli esami?) E lo fanno regolarmente nella tua posizione.

Sembra che un po 'di educazione degli insegnanti risolverebbe questo, dopo un po' di lavoro investigativo per restringere la fonte della perdita. Potrebbe essere un computer o un router hackerato piuttosto che un errore umano, quindi non sto sostenendo nulla di draconiano. Vorrei installare alcuni logging, o dare le password individuali degli insegnanti (temporaneamente).

Forse è anche più facile per gli insegnanti ricevere aiuto da un adulto o utilizzare account guest se un bambino ti sta aiutando?

    
risposta data 19.06.2015 - 17:32
fonte
13
  • Assegna a ogni utente autorizzato la propria password individuale. Quindi sarai in grado di giudicare da dove vengono le perdite (supponendo che siano trapelate piuttosto che incrinate). (Ad esempio, potresti dover istruire uno dei tuoi insegnanti a non lasciare la password scritta sulla sua scrivania).

  • Imposta regole firewall rigide che bloccano l'accesso alla maggior parte di Internet. Lascia solo il minimo indispensabile di siti accessibili. Gli studenti potrebbero rinunciare a provare a connettersi se non gli danno accesso a Facebook (ad esempio). Gli utenti autorizzati potrebbero facilmente richiedere che un sito venga sbloccato se ne ha bisogno. Il blocco potrebbe anche essere configurato per essere applicato solo per le connessioni wireless, in questo modo non disturberà il personale amministrativo che si trova sul proprio computer sulla propria scrivania per tutto il giorno su una connessione cablata.

risposta data 19.06.2015 - 12:10
fonte
13

Considera un aggiornamento delle attrezzature

So che stai cercando una soluzione senza budget, ma un set corrispondente di WAP e controller centrale di livello aziendale potrebbe rendere più semplice la protezione della rete. Pesare contro il costo della difesa contro una causa per cyberbullismo o molestie nei confronti di un dipendente o per facilitare la falsificazione dei punteggi dei test ...

Usa filtro MAC

La raccolta degli indirizzi MAC ti offre una modifica per parlare con ogni membro dello staff delle tue aspettative riguardo alla sicurezza del loro account e delle attrezzature. Un elenco di indirizzi MAC, numeri seriali hardware e altre informazioni sulle apparecchiature di proprietà della scuola è anche importante per dimostrare che non sei stato oggetto di furto.

Rendi DHCP un honeypot

Assegna indirizzi IP statici ai dispositivi membri dello staff da un intervallo gestibile e consenti loro qualsiasi accesso a Internet appropriato. Configurare DHCP per dare gli indirizzi da una gamma diversa per gli indirizzi MAC non riconosciuti, e impostare un redirect DNAT modo che l'unica cosa che un utente vede quando provenienti da quel intervallo di indirizzi IP è una pagina web statica con le istruzioni di parlare con voi:

"This network is operated by XXX school and is for authorized academic use only. If you believe you are seeing this page in error, please see Mr. McQueen in room XXX."

Applica conseguenze

Se gli studenti non dovrebbero avere telefoni e computer portatili, applicalo. Prima offesa, confiscare il dispositivo immeditamente, fare in modo che un genitore venga a prenderlo. Seconda offesa, stessa esercitazione, sospendere lo studente, come se uno studente fosse stato catturato con una droga o un'arma. Per quegli studenti che devono portare un telefono da / a scuola (se è una scuola superiore, forse hanno bisogno di un telefono per lavoro o il loro tragitto), falli controllare alla segreteria prima che inizi il giorno di scuola e controlli fuori dopo.

    
risposta data 19.06.2015 - 16:20
fonte
11

Devi stringere la sicurezza umana, non la sicurezza tecnica. La password WiFi è abbastanza buona, le domande reali sono " Chi sta trapelando password agli studenti? " e " Come fermarli? ". Non puoi avere alcuna sicurezza se le persone privilegiate (personale) condividono le loro credenziali con quelle che stai cercando di bloccare.

Impostare password diverse per ogni singola persona aiuterebbe solo in tal modo che sarete in grado di bloccare coloro che rivelano le loro password. E poi gradualmente insegnare loro ad essere più attenti impiegando una procedura di ripristino di accesso lunga e problematica: D

// edit: Dopo aver riletto la tua domanda, mi rendo conto che hai già detto come vengono passate le password.

Some of the teachers are not at all comfortable with technology 

Quindi, posso proporvi mezzi estremi per te:

Quindicambialatecnologia!IlWi-Fiècomplicatoeconfuso.Sostituirloconcavi.Icavisonosempliciefacilidacapire:unosicollega,leluciinizianoalampeggiareeInternetfunziona.PerfavorecapiscichenontiesortoaspegnerefisicamenteiltuoWi-Fi.Suggeriscosemplicementechelamaggiorpartedegliinsegnantinondovrebbeusarlodirettamente,quindinonhannobisognodiconoscerelapassword.

Senonèpossibileottenereuncavodaqualcheparte,unsemplicepuntodiaccessoinmodalitàclientforniràunjackEthernet.LapasswordsulpannellodiamministrazionerenderàmoltodifficileimpararecomequestoAPautorizzailtuoWi-Fi"backbone".

Per chromebooks e ipad, imposta un Wi-Fi dedicato nella stanza in cui vengono utilizzati. Puoi cambiare la sua password dopo ogni lezione e annunciarne una nuova all'avvio della classe successiva.

    
risposta data 19.06.2015 - 19:14
fonte
8

Userei WPA2-Enterprise, quindi tutti useranno il proprio nome e password, non solo una password, che è uguale per tutti. Per configurare WPA2-Enterprise, è sufficiente disporre del server RADIUS. L'opinione più economica, penso sia quella di acquistare un server NAS. Supporta a volte più cose e RADIUS (consiglio Synology per questo).

L'alternativa è usare un sistema di hotspot per richiedere l'accesso, ma non tutti i router supportano questo ed è piuttosto costoso.

Il filtro MAC menzionato e i trap DHCP non sono la sicurezza principale. È necessario aver registrato tutti gli indirizzi nei router, quindi non è possibile portare il proprio dispositivo. La prossima cosa è che il filtro MAC e le trappole DHCP sono crackabili in circa 5-15 minuti.

All'ultimo paragrafo: qualcuno dovrebbe dire agli insegnanti che ciò è sbagliato. Sebbene sia possibile configurare il blocco del dispositivo dopo un certo periodo di inattività e molte altre cose, non esiste un modo efficace per smettere di comunicare la password a persone che non dovrebbero avere la password. Inoltre, dovrebbero cambiare periodicamente le password.

Ma vedo l'intera cosa in questo modo: non c'è modo di fermare l'hacker (studenti), puoi solo renderli più difficili da hackerare.

    
risposta data 19.06.2015 - 19:16
fonte
7

Imposta un captive portal che utilizza RFC 6238 come Google Authenticator (GA) ( link ). GA ha un modulo PAM. Chiedi a ciascun dipendente di installare l'app, quindi di presentarti personalmente al tuo ufficio IT per configurare (sincronizzare) il proprio account con l'app.

Utilizza il token auth come unico o secondo fattore. Se i codici QR o segreti vengono divulgati, sei tornato al caos, ma dovresti riuscire a contenerlo.

Potresti anche utilizzare urQui ( link ) anziché Google Authenticator

    
risposta data 19.06.2015 - 02:54
fonte
4

Suggerirò di fare ciò che fanno la maggior parte delle fonti Wi-Fi pubbliche e richiederò l'autenticazione attraverso un sito web con nomi utente e password individuali. Utilizza una password WPA e se vuoi fornirai protezione dallo sniffing casuale.

Questo è disponibile attraverso il router gratuito DD-WRT , in particolare tramite il software chiamato ChiliSpot . Puoi quindi utilizzare un provider di terze parti per gestire l'autenticazione degli utenti.

ChilliSpot is an open source Captive_Portal wireless or LAN access point controller. It is used for authenticating users. It supports web based login which is today's standard for public HotSpots. Authentication, authorization and accounting (AAA) is handled by an on-line provider, or a local radius service you provide.

Ogni insegnante avrebbe quindi un accesso individuale. Mentre le password potrebbero ancora "perdita", è possibile modificare facilmente qualsiasi password per un utente poiché il servizio offre anche la contabilità, e si potrebbe trovare la persona responsabile della perdita della password. Al momento sono sicuro che è un grave problema cambiare la chiave pre-condivisa in quanto deve essere comunicata a così tante persone, quindi suppongo che non lo faccia molto spesso. Inoltre, digitare un nome utente e una password "sembra" più simile all'hacking piuttosto che condividere una password WPA (che le persone fanno sempre). Quindi anche questa modifica potrebbe ridurre gli abusi anche se viene rilevato un accesso individuale.

Ho intenzione di raccomandare il filtro degli indirizzi MAC perché è un incubo di manutenzione ogni volta che un insegnante vuole connettere un nuovo dispositivo alla rete. Ovviamente potrebbe essere fatto, ma sembra più un problema che ne vale la pena. Anche lo spoofing dell'indirizzo MAC è relativamente banale e una volta scoperto sarebbe solo questione di tempo prima che tutti sapessero come farlo.

Suppongo che tu abbia già pensato all'opzione "enforcement" e l'hai rifiutata per le tue ragioni. Buono. Spero che le scuole non vadano più avanti nel percorso di essere più come prigioni che luoghi da apprendere.

    
risposta data 19.06.2015 - 03:59
fonte
3

Trova un modo per non dare la password. Non ho esperienza con questo strumento, ma SpiceWorks ha un programma gratuito di gestione dei dispositivi mobili all'indirizzo link . Usalo per distribuire la password WPA2 a tutti i computer che sono autorizzati a connettersi. Se uno studente mette le mani sul programma di installazione, questo non lo aiuterà perché è possibile configurarlo in modo che il dispositivo debba essere approvato prima che ottenga la password.

    
risposta data 19.06.2015 - 04:14
fonte
3

802.1X

IEEE 802.1X is a Standard for Port-based Network Access Control (PNAC) - it provides an authentication mechanism to devices wishing to attach to a LAN or WLAN.

Ci sono diversi modi in cui può essere impostato in modo da dover esaminare quali sono le vostre apparecchiature e necessità, ma un tipico caso d'uso è se si dispone di un MS ActiveDirectory con tutti gli utenti (personale) con account AD. È quindi possibile configurare un server RADIUS e gli utenti possono quindi autenticarsi con le loro normali credenziali di dominio per accedere alla rete.

    
risposta data 19.06.2015 - 12:18
fonte
3

Ecco una strategia diversa. Iniziamo assumendo quanto segue:

  1. Qualsiasi password fornita agli insegnanti verrà divulgata a condizione che gli insegnanti non abbiano alcuna motivazione a non condividere le loro password
  2. Una volta che una password perde, viaggia ampiamente attraverso il passaparola
  3. L'applicazione / l'azione contro gli studenti per l'utilizzo di password prese in prestito è difficile
  4. Stiamo cercando di fermare lo studente medio e non un hacker veramente motivato
  5. Avere un elenco statico di MAC è troppo restrittivo e può essere comunque spoofato
  6. Avere una sorta di elenco MAC dinamico rende molto lavoro quotidiano dover aggiungere dispositivi e inoltre può essere falsificato comunque.
  7. A te non interessa molto il ragazzo strano o il logging in modo illegittimo, a meno che non ci siano così tanti ragazzi che accedono per sommergere la larghezza di banda

Ora dato tutto questo, l'unica soluzione che ritengo adatta al caso d'uso è una password che cambia frequentemente. Ora, ammettiamolo, potrebbe essere un po 'complicato da implementare ma non impossibile.

Pensiamo innanzitutto a cosa potrebbe funzionare per il tuo caso d'uso e poi possiamo preoccuparci di come implementarlo. Quello di cui hai bisogno è un sistema che generi una password con una scadenza. Ogni giorno, quando qualcuno tenta di accedere, invia loro un codice di accesso che funziona per 8 ore tramite un canale off-channel che funzionerebbe. per esempio. utilizzare un SMS / messaggio di testo per inviare loro il codice di accesso. I telefoni cellulari sono onnipresenti. Quasi tutto il tuo staff li avrà. Tra i lati positivi, la password non deve essere molto lunga e difficile ora. Un codice numerico a 4 o 6 cifre dovrebbe essere sufficiente per la maggior parte degli scopi.

In questo sistema, anche se un insegnante dà via una password, accidentalmente o intenzionalmente, il danno è minimo perché il numero di utenti illegittimi che possono ottenere la password in 8 ore è limitato. E la password non va bene dopo.

Fondamentalmente, rendere la vita più difficile per i cattivi.

Se volevi peggiorare le cose, potresti anche fare in modo che ogni codice di accesso fosse valido solo per un dispositivo.

Implementazione: Non sono sicuro di come vengano chiamati i sistemi, ma l'ho visto negli aeroporti (soprattutto al di fuori degli Stati Uniti) e in altri luoghi pubblici prima. Devo inserire il mio numero di cellulare e accettare i termini nella pagina di accesso che mi viene presentata quando provo ad accedere a una rete WiFi e poi il sistema mi invia un messaggio di testo sul mio cellulare con il codice di accesso necessario per l'accesso.

Invio dei messaggi di testo: con qualcosa come Twilio o dozzine di altre API SMS l'invio online del messaggio non dovrebbe essere così difficile. A meno di un centesimo per messaggio inviato non dovrebbe sovraccaricare il tuo budget.

Alternativa alla messaggistica di testo: utilizza un generatore di codice pin basato sul tempo come uno di questi RSA fob o persino l'autenticatore di Google. Ma programmare questo tipo di soluzione e integrarlo nella tua soluzione potrebbe non essere banale.

    
risposta data 20.06.2015 - 14:56
fonte
2

Ti stai avvicinando al problema nel modo sbagliato, e nel processo rendi te stesso (e l'istituzione in generale) il nemico. Il corpo studentesco è, collettivamente, più intelligente e ha più risorse. Inoltre, non dimenticare chi lavori per (loro).

Se fossi al tuo posto, prenderei la strada semplice: una rete wifi studentesca completamente aperta. Sì, hai letto bene - nessuna restrizione.

Il modo in cui "controlli" sta facendo capire che la rete è monitorata. E ogni traffico "insolito" verrà pubblicato sul sito web della scuola perché tutti possano vederlo.

Stai includendo classi di età dell'informazione, sì? Come funzionano le reti, il cracking delle password, la sicurezza delle informazioni, l'analisi della truffa del mese, ecc.? Altrimenti, stai fallendo nel tuo lavoro di educatore. Siamo nel ventunesimo secolo, questa è una conoscenza necessaria e piuttosto più importante della lunga divisione o della rivoluzione francese. I loro telefoni fanno già la divisione.

    
risposta data 23.06.2015 - 02:06
fonte
1

Dovresti dire agli insegnanti di questo, in modo da non fornire password agli studenti e quindi applicare lo schema WPA2-Enterprise.

    
risposta data 24.06.2015 - 08:57
fonte
1

The Human Problem (Ingegneria sociale)

Hai insegnanti che consegnano casualmente le password agli studenti. Il primo gruppo che devi educare all'uso della rete sono i tuoi insegnanti. Altrimenti, ulteriori misure di sicurezza sono inutili.

Supponendo che si stia utilizzando una password complessa per la chiave WiFi e utilizzando WPA2 (non WEP o WPA, ma WPA2), la rete wireless è non particolarmente facile da penetrare.

Questo significa che i tuoi insegnanti stanno dando la password ai tuoi studenti, sia direttamente che intenzionalmente, o attraverso un trattamento lassista di sicurezza (scrivendo la password, lasciando i computer sbloccati, ecc.)

Ci sono molte altre risposte che riguardano cose come il filtraggio degli indirizzi MAC (inutile), che stabiliscono chiare conseguenze per l'uso improprio della rete, ecc.

Alcune risposte riguardano anche la possibilità di fornire agli studenti la propria rete da utilizzare.

La soluzione tecnica

Alcune risposte hanno suggerito varianti di configurazione di una rete sicura. Questo può essere fatto con un investimento relativamente minimo e può essere facilmente esteso per fornire più reti per usi diversi (rete per insegnanti / amministratori per materiale sensibile, rete studentesca per i Chromebook in classe e magari anche per l'uso limitato dei dispositivi degli studenti).

Se disponi di Active Directory (un server Windows) o di un server SAMBA Linux, puoi configurare l'autenticazione WPA-Enterprise sulla tua rete wireless.

Inoltre, è possibile implementare punti di accesso relativamente convenienti che comunicano tra loro e consentono di servire più SSID (più di una rete wireless), ciascuno su una VLAN separata. Ogni VLAN è una rete separata e non può comunicare con altre VLAN se non attraverso un router, quindi il router è il punto in cui si stabiliscono le regole del firewall per controllare cosa può comunicare con cosa. E una rete può utilizzare WPA-Enterprise mentre un'altra utilizza WPA2, oppure è aperta ma forza l'autenticazione tramite un portale ospite in cattività e un firewall che impedisce le connessioni nella rete di amministrazione.

Il solo fatto di concedere agli studenti un proprio dominio connesso alla rete può ridurre il numero di coloro che sono interessati a infrangere le policy e rischiare i loro voti o le loro estati per entrare nella sensibile rete di amministrazione.

Non sto cercando di vendere particolari attrezzi, ma come solo un esempio puoi ottenere Ubiquiti Unifi AP per meno di $ 70 ciascuno. Possono servire fino a quattro SSID, e il software del controller è "gratuito" e funziona su Windows o Linux e include un portale ospite che consente ai visitatori (detti anche "studenti") di accedere individualmente per poter accedere alla rete. È possibile distribuire il maggior numero di questi di cui si ha bisogno per ottenere una copertura wireless adeguata e dispositivi / laptop gireranno senza problemi tra tutti gli AP. Sono dispositivi PoE, quindi tutto ciò di cui hanno bisogno per funzionare è un cavo Ethernet. link

Puoi ottenere un router reale a $ 100 che passerà vicino a un gigabit al secondo attraverso il motore di routing (in realtà, per $ 50 con un throughput leggermente inferiore se ottieni la versione "fratellino" e sì, sto pensando ad una marca particolare). Entrambi questi piccoli router offrono una singola connessione Internet (o connessioni ridondanti se si preferisce) e la possibilità di segmentare la rete in più VLAN e controllare le comunicazioni tra questi segmenti e presentare un server DHCP diverso per ciascun segmento di rete. In questo modo puoi indirizzare tutte le connessioni degli studenti attraverso un server proxy che registra attività e guarda per cose subdole / inappropriate se è quello che vuoi fare.

È possibile ottenere uno switch Gigabit Ethernet gestito (8 porte) con supporto VLAN pienamente adeguato per $ 30 o una versione a 24 porte dello switch per $ 80. Per la scala e il budget con cui hai a che fare, non avere per spendere migliaia di dollari per dispositivo per utilizzare gli switch HP Procurve o Cisco di fascia alta e dispositivi wireless super-costosi con controller hardware dedicati . Quelli sono grandi, non fraintendetemi, ma se non è nel budget, allora non è nel budget.

Per poche centinaia di dollari, qualcuno con un po 'di conoscenza della rete e l'accesso alla documentazione e ai forum online potrebbe creare una rete solida.

    
risposta data 23.06.2015 - 04:47
fonte
0

Ci sono state molte buone risposte sull'utilizzo di WPA Enterprise che è il modo corretto per proteggere una rete Wi-Fi multiutente. Anche i portali in cattività funzionerebbero, e dubito che più di un paio di studenti si sarebbe preso la briga di provare a falsificare indirizzi MAC e cookie per cercare di aggirare il problema.

Il passaggio a Ethernet cablata è la mia risposta preferita. Essere in presenza di Wifi è noto per avere effetti negativi sulla salute delle persone. Anche le risposte sugli studenti disciplinati sono buone.

La domanda è come tenere gli studenti lontani dalla rete WiFi. La mia risposta è di far sì che non vogliano esserci. Questa è una scuola. È per l'educazione. Filtra tutti i contenuti non educativi sull'intera rete durante l'orario scolastico. Ciò impedirebbe a insegnanti e studenti di perdere tempo durante i periodi scolastici. Potrebbe essere fatto con una lista bianca di servizi educativi, bloccando tutti i contenuti non educativi conosciuti possibilmente includendo tutto il traffico SSL / TLS non elencato in bianco e riducendo tutto ciò che è sconosciuto a 1KB / sec. Il contenuto multimediale sembra essere quello che usano molti studenti. 1KB / sec metterebbe fine a questo. Gli insegnanti possono inviare un'email preventivamente chiedendo che i siti vengano sbloccati. Dopo un po 'sarebbe permessa una bella collezione di siti educativi. Gli insegnanti probabilmente saranno sconvolti dal fatto che youtube.com non funzioni. Spiega agli insegnanti che i video devono essere scaricati in anticipo utilizzando uno dei vari downloader video.

Se un numero limitato di insegnanti ha bisogno di un accesso completo non filtrato, per questi insegnanti potrebbe essere impostato un proxy HTTP / HTTPS con una password (o una password diversa per insegnante). In realtà, impostare l'intera rete per richiedere l'uscita di un proxy è un'alternativa alla protezione del wifi.

Mi rendo conto che questa idea va contro ciò che aziende come Google vogliono, dove i loro prodotti (come i Chromebook) non funzionano affatto su una rete filtrata a meno che tu non sblocchi YouTube (che è praticamente tutto l'intrattenimento saggio). Vuoi che la scuola sia per l'istruzione o che le grandi aziende entrino e cerchi di bypassare gli insegnanti e fornire contenuti direttamente agli studenti?

Un altro modo per filtrare le cose è permetterlo parzialmente, ma in qualche modo romperlo. Youtube lo fa quando vogliono censurare qualcosa. Non lo rimuoveranno da Youtube, ma lo faranno non apparire nei video correlati. Questo impedisce alle persone di passare da YouTube dove le cose sono censurate, mentre impedisce alla maggior parte delle persone di vederlo. È possibile assegnare casualmente tutti gli indirizzi MAC appartenenti ai prodotti Apple (come gli iPhone) alla lista ridotta a 5 KB / sec, supponendo che i computer degli insegnanti non siano Apple. Potresti chiedere a tutti gli insegnanti di spegnere i loro dispositivi. Quindi monitorare tutti gli indirizzi MAC che sono in uso e assegnarli al filtro o all'elenco di blocchi, o accelerare a 5 KB / sec. Alcuni dispositivi per studenti funzioneranno ancora e impiegheranno molto tempo per capire cosa sta succedendo.

Potresti monitorare i siti in cui sai che solo gli studenti stanno andando e quindi bloccare in base agli indirizzi MAC. La maggior parte degli studenti e amp; le combinazioni di dispositivi impediranno la modifica dell'indirizzo MAC. Alla fine qualcuno probabilmente capirà il jailbreak e così sarà necessario implementare un network filtering, Ethernet cablato o WPA Enterprise.

    
risposta data 03.04.2018 - 00:50
fonte

Leggi altre domande sui tag