Je suis professeur et informaticien dans une petite école K-12 .
Les étudiants ne sont pas censés avoir de téléphones, d'ordinateurs portables ou d'accès au réseau. Cependant, les étudiants étant des étudiants, ils essaieront de trouver un moyen de contourner les règles.
Les étudiants parviennent à acquérir les mots de passe Wi-Fi à peu près dès que nous les changeons. Cela devient un jeu pour eux. Bien qu'ils ne soient pas censés le faire, ils apporteront leurs ordinateurs portables et leurs téléphones et utiliseront le réseau. L'un d'eux obtiendra le mot de passe et il se déplacera comme une traînée de poudre dans toute l'école. C'est parfois aussi simple que de l'écrire sur un mur où le reste des élèves peut obtenir le mot de passe mis à jour.
Que pouvons-nous faire pour les garder hors du réseau? J'envisage d'entrer adresses MAC , mais c'est très laborieux, et ce n'est toujours pas une garantie de succès s'ils usurpent l'adresse.
Avez-vous des suggestions?
Quelques antécédents:
Il y a quatre routeurs dans un bâtiment vieux de 50 ans (beaucoup de murs en béton). Un routeur en bas et trois à l'étage. Ce sont des marques et des modèles différents (Netgear, Asus, Acer, D-Link) donc pas d'administration centrale.
L'école compte environ 30 Chromebooks et un nombre similaire d'iPad. Les enseignants utiliseront leurs propres ordinateurs portables (un mélange de Windows Vista, Windows 7 et Windows 8 ainsi qu'un certain nombre de Mac OS X).
Certains professeurs ne sont pas du tout à l'aise avec la technologie et quitteront la salle avec leurs machines accessibles aux élèves. Les enseignants oublient souvent leur mot de passe ou le donnent même aux élèves lorsqu'ils ont besoin d'aide. Ils demanderont l'aide des étudiants lors de la mise en place d'un projecteur par exemple et les laisseront là, là encore la sécurité. Dès que l'enseignant est sorti de la salle, il va dans la barre des tâches et examine les propriétés du routeur Wi-Fi pour obtenir le mot de passe.
La première chose que vous devez faire est de vous assurer que vous disposez d'une politique écrite décrivant les périphériques autorisés sur le réseau. Cependant, si vous n'êtes pas cohérent dans l'application de votre politique, cela est inutile.
Cela devrait également couvrir les politiques d'utilisation des enseignants, y compris le verrouillage de leurs ordinateurs lorsqu'ils ne sont pas présents sur la machine. Vous pouvez également utiliser Stratégie de groupe pour empêcher les utilisateurs de voir le mot de passe WiFi.
Ce qui suit se compose de diverses options pour limiter l'utilisation des appareils des élèves sur le réseau de l'école. Le plus efficace est WPA2-Enterprise. Les autres sont inclus car ils peuvent être suffisamment efficaces pour limiter l'accès non autorisé des étudiants et, selon votre réseau particulier, peuvent être plus faciles à mettre en œuvre.
Cependant, la question suggère que les étudiants sont sur le réseau principal de l'organisation. Seul WPA2-Enterprise va protéger adéquatement votre réseau contre une attaque d'un appareil non autorisé. Une fois qu'un PSK est connu, un élève a la possibilité de flairer le trafic Web des enseignants, et éventuellement de capturer des hachages de messagerie et de fenêtres. De plus, un utilisateur malveillant pourrait commencer à attaquer directement d'autres machines.
La meilleure solution serait d'implémenter WPA2-Enterprise, au lieu d'utiliser une clé pré-partagée (WPA2-PSK). Cela permet de délivrer des informations d'identification individuelles. Ceci est implémenté en installant des certificats clients sur chaque machine. Cela nécessite un peu d'ingénierie et n'est pas anodin à installer dans des environnements plus vastes. Cette page a quelques bons conseils sur la façon de déployer WPA2-Enterprise.
Comme @ Steve Sether mentionné, le portail captif Chillispot peut être utilisé pour authentifier les utilisateurs une fois qu'ils se sont connectés au réseau. Bien que je n'ai aucune preuve à montrer, je soupçonne qu'un tel portail peut être contourné en usurpant les adresses MAC et IP. Cependant, cela soulève la difficulté et sera plus facile à gérer que le filtrage MAC sur plusieurs appareils.
Comme vous l'avez mentionné, les adresses MAC peuvent être usurpées, de sorte que l'efficacité du filtrage des adresses MAC est limitée. Cependant, de nombreux téléphones empêchent d'usurper l'adresse MAC, ce qui résoudra certains des utilisateurs problématiques. L'iPhone par exemple, doit être jailbreaké avant que l'adresse MAC puisse être modifiée . La partie la plus difficile de l'utilisation du filtrage des adresses MAC va être la gestion de la liste des adresses MAC autorisées, en particulier sur plusieurs appareils de différents fournisseurs.
Je dirais également qu'il y a un avantage "légal" à utiliser le filtrage d'adresses MAC ou un portail captif. Il peut être difficile de prétendre qu'un utilisateur n'était pas autorisé à accéder à un réseau lorsque le mot de passe est écrit sur un tableau blanc. Cependant, si un utilisateur doit contourner explicitement une restriction de sécurité, vous avez un argument plus solide contre l'activité.
Implémentez une solution HTTPS qui utilise votre propre clé privée. Vous pouvez installer le certificat correspondant sur les machines de l'organisation et ils ne remarqueront rien de différent (bien que l'organisation doive toujours informer le personnel qu'une interception HTTPS se produit). Cependant, les appareils non autorisés sans le certificat recevront un message désagréable indiquant que HTTPS n'est pas valide lorsqu'ils essaient de parcourir une page sécurisée. De plus, puisque vous déchiffrez le trafic HTTPS, vous pourrez surveiller le trafic. Par exemple, voir quels étudiants se connectent à Facebook vous permettra de vous adresser directement à ces étudiants.
De nombreuses implémentations de contrôle de contenu offrent la possibilité de déchiffrer le trafic HTTPS. Si l'école dispose déjà d'un mécanisme de contrôle du contenu (tel que Bluecoat ou Net Nanny), parlez à votre fournisseur de la façon de mettre en œuvre cette fonctionnalité.
Vous essayez de résoudre le mauvais problème.
Ils sont des milliers et vous en êtes un. Puisque vous n'êtes pas un expert en sécurité (pour autant que je comprends, désolé si je me trompe) et qu'ils ne le sont pas non plus, mais ils sont une horde, vous êtes obligé de perdre si vous combattez une guerre conventionnelle .
@ AviD a donné une excellente réponse dans un commentaire:
Voici une idée non technique: c'est une école, non? Alors éduquez-les. Apprenez-leur l'importance des conséquences, une utilisation acceptable, l'illégalité du piratage ... et oui, une bonne utilisation d'Internet. Je veux dire, donnez-leur accès, à un réseau filtré séparé si nécessaire, et créez un programme autour de cela. Cours, sécurité sur Internet, respect strict de tout AUP, etc ... Donnez-leur accès au réseau et utilisez-le pour leur apprendre à être de bons citoyens d'Internet. Et, comment utiliser Internet de manière productive, pour aider à leur éducation.
Non seulement vous ne pouvez pas gagner la guerre de les empêcher d'accéder, mais même si vous le faites , vous n'aurez rien accompli: ils ont toujours leurs appareils, ils seront toujours distraits, juste de différentes manières .
De plus, le piratage vous leur apprendra de précieuses leçons, en "résolution de problèmes", pourrions-nous dire. Si ce n'est pas le genre de problème que vous voulez qu'ils résolvent, trouvez de meilleurs problèmes, plus divertissants ou utiles.
Veuillez noter que, même si c'était faisable (je suppose que ce n'est pas le cas), leur interdire d'apporter les appareils n'est pas non plus une bonne solution: ils doivent apprendre à avoir des appareils à portée de main et ne pas les utiliser, en suivant la leçon à la place. S'ils n'apprennent pas cette leçon, à l'avenir ils auront le même problème socialement et au travail .
Enfin, s'ils parviennent à ne pas suivre vos cours et à obtenir de bonnes notes , alors le problème pourrait résider ici. Vos tests sont-ils trop faciles ou trop tricheurs? Vos leçons sont-elles inutiles? C'est le point. D'un autre côté, s'ils échouent aux tests, ils pourraient/devraient se rendre compte que peut-être que suivre les leçons les aidera à réussir…
Comme l'indique correctement DDPWNAGE:
C'est 2015, non? À mon avis, les étudiants devraient avoir un accès limité à Internet. Si vous êtes professeur de lycée, demandez à l'école si vous pouvez enseigner une classe sur l'utilisation d'Internet et donner des cours d'informatique de base. Un nombre croissant d'enfants s'intéressent à ces sujets, et un langage de programmation appris au lycée peut plus tard sauver des milliers d'enfants à l'université. Je suis diplômé de HS vendredi prochain, et je viens avec un jeu iOS utilisant Objective-C comme logique. Demandez aux enfants de rester sur le sujet et ils peuvent faire de grandes choses.
Ethernet
Avant d'être flambé par tous ceux qui disent que les iPads n'ont pas de ports Ethernet, il s'agit simplement d'une seule couche de "sécurité".
Dans la plupart des cas, les enseignants devraient pouvoir utiliser leurs ordinateurs portables avec un vieux câble physique Ethernet BASE-100TX CAT5 +.
Vous aurez réduit la surface d'attaque (car les clés ne seront plus sur les ordinateurs portables du professeur).
De plus, si les étudiants avaient accès au CAT5 physique, il serait plus difficile à exploiter (vous pouvez voir un périphérique physique connecté à un câble et la plupart des téléphones n'ont pas de prise RJ45).
Si des mots de passe fuient comme ça, vous pouvez avoir un problème plus important que de restreindre l'accès Wifi. Il semble que les enfants puissent faire presque tout ce qu'un enseignant peut faire (y compris manipuler les résultats des examens?) Et le font régulièrement à votre emplacement.
Il semble qu'un peu de formation des enseignants puisse résoudre ce problème, après quelques travaux de détective pour réduire la source de la fuite. Il peut s'agir d'un ordinateur ou d'un routeur piraté plutôt que d'une erreur humaine, donc je ne préconise rien de draconien. Je voudrais installer une journalisation ou donner des mots de passe individuels aux enseignants (temporairement).
Peut-être aussi aider les enseignants à obtenir de l'aide d'un adulte ou à utiliser des comptes invités si un enfant aide?
Donnez à chaque utilisateur autorisé son propre mot de passe individuel. Ensuite, vous serez en mesure de juger d'où proviennent les fuites (en supposant qu'elles fuient plutôt que fissurées). (Par exemple, vous pourriez avoir besoin d'éduquer l'un de vos professeurs pour qu'il ne laisse pas le mot de passe écrit sur son bureau).
Configurez des règles de pare-feu strictes qui bloquent l'accès à la plupart d'Internet. Ne laissez que le strict minimum de sites accessibles. Les étudiants peuvent renoncer à essayer de se connecter si cela ne leur donne pas accès à Facebook (par exemple). Les utilisateurs autorisés peuvent facilement demander qu'un site soit débloqué s'ils en ont besoin. Le bloc pourrait également être configuré pour ne s'appliquer qu'aux connexions sans fil, de cette façon, cela ne gênera pas votre personnel administratif qui est à son ordinateur sur son bureau toute la journée sur une connexion filaire.
Envisagez une mise à niveau de l'équipement
Je sais que vous recherchez une solution sans budget, mais un ensemble correspondant de WAP de qualité entreprise et d'un contrôleur central pourrait faciliter la sécurisation du réseau. Pesez-le contre le coût de la défense contre un procès pour cyberintimidation, harcèlement d'un employé ou pour faciliter la falsification des résultats des tests ...
tiliser le filtrage MAC
La collecte des adresses MAC vous permet de discuter avec chaque membre du personnel de vos attentes en matière de sécurisation de son compte et de son équipement. Une liste d'adresses MAC, de numéros de série de matériel et d'autres informations sur l'équipement appartenant à l'école est également importante pour prouver que vous n'avez pas été victime de vol.
Faire de DHCP un pot de miel
Attribuez des adresses IP statiques aux appareils des membres du personnel à partir d'une plage gérable et accordez-leur tout accès à Internet approprié. Configurez DHCP pour donner des adresses d'une plage différente pour les adresses MAC non reconnues et configurez une redirection DNAT de sorte que la seule chose qu'un utilisateur voit en venant de cette plage d'adresses IP soit une page Web statique avec des instructions pour vous parler:
"Ce réseau est exploité par l'école XXX et est réservé à un usage académique autorisé. Si vous pensez que vous voyez cette page par erreur, veuillez consulter M. McQueen dans la salle XXX."
Appliquer les conséquences
Si les élèves ne sont pas censés avoir de téléphones et d'ordinateurs portables, appliquez-les. Première infraction, confisquez l'appareil immédiatement, faites venir un parent. Deuxième infraction, même exercice, suspendre l'élève, comme si un élève avait été pris avec de la drogue ou une arme. Pour les élèves qui doivent transporter un téléphone de/vers l'école (s'il s'agit d'un lycée, ils ont peut-être besoin d'un téléphone pour aller au travail ou se rendre à l'école), faites-le vérifier au secrétariat avant le début de la journée scolaire et vérifiez après cela.
Vous devez renforcer la sécurité humaine, pas la sécurité technique. Le mot de passe WiFi est assez bon, les vraies questions sont "Qui fuit les mots de passe aux étudiants?" et "Comment les arrêter?". Vous ne pouvez pas avoir de sécurité si des personnes privilégiées (personnel) partagent leurs informations d'identification avec celles que vous essayez de bloquer.
La mise en place de mots de passe différents pour chaque personne n'aiderait qu'en tant que telle que vous pourrez verrouiller ceux qui révèlent leurs mots de passe. Et puis leur apprendre progressivement à être plus prudent en utilisant une procédure de restauration d'accès longue et difficile: D
// edit: Après avoir relu votre question, je me rends compte que vous avez déjà dit comment les mots de passe sont divulgués.
Some of the teachers are not at all comfortable with technology
Je peux donc vous proposer des moyens extrêmes:
Changez alors de technologie! Le Wi-Fi est compliqué et déroutant. Remplacez-le par des câbles. Les câbles sont simples et faciles à comprendre: on le branche, les voyants commencent à clignoter et Internet fonctionne. Veuillez comprendre que je ne vous invite pas à arrêter physiquement votre Wi-Fi. Je suggère simplement que la plupart des enseignants ne devraient pas l'utiliser directement et n'ont donc pas besoin de connaître le mot de passe.
Si vous ne pouvez pas trouver de câble quelque part, un simple point d'accès en mode client fournira une prise Ethernet. Le mot de passe sur le panneau d'administration, il sera très difficile d'apprendre comment cet AP autorise votre Wi-Fi "backbone".
Pour les Chromebooks et les iPad, définissez un Wi-Fi dédié dans la pièce où ils sont utilisés. Vous pouvez changer son mot de passe après chaque cours et annoncer le nouveau au début du prochain cours.
J'utiliserais WPA2-Enterprise, donc tout le monde utiliserait son propre nom et mot de passe, pas seulement un mot de passe, qui est le même pour tout le monde. Pour configurer WPA2-Enterprise, il vous suffit d'avoir un serveur RADIUS. L'opinion la moins chère, je pense est d'acheter un serveur NAS. Il prend en charge plusieurs choses et RADIUS parfois aussi (je recommande Synology pour cela).
L'alternative est d'utiliser un système de hotspot pour exiger une connexion, mais tous les routeurs ne le supportent pas et c'est assez cher.
Le filtre MAC mentionné et les pièges DHCP ne sont pas la sécurité principale. Il doit avoir enregistré toutes les adresses dans le (s) routeur (s), il n'y a donc pas d'option pour apporter votre propre appareil. La prochaine chose est que le filtre MAC et les pièges DHCP peuvent être fissurés en 5 à 15 minutes environ.
Au dernier paragraphe: quelqu'un devrait dire aux enseignants que c'est faux. Bien que vous puissiez configurer le verrouillage de l'appareil après un certain temps d'inactivité et bien d'autres choses, il n'y a aucun moyen efficace d'arrêter de dire le mot de passe aux personnes qui ne devraient pas avoir le mot de passe. De plus, ils devraient périodiquement changer les mots de passe.
Mais je vois le tout de cette façon: il n'y a aucun moyen d'arrêter le pirate (étudiants), vous ne pouvez que rendre le piratage plus difficile.
Configurez un portail captif qui utilise la RFC 6238 comme Google Authenticator (GA) ( https://github.com/google/google-authenticator ). GA possède un module PAM. Demandez à chaque employé, installez l'application, puis venez à votre bureau informatique, en personne, pour configurer (synchroniser) leur compte avec l'application.
Utilisez le jeton d'authentification comme seul ou deuxième facteur. Si les codes QR ou les secrets sont divulgués, vous êtes de retour dans le chaos, mais vous devriez pouvoir le contenir.
Vous pouvez également utiliser urQui ( http://urqui.com/web/ ) au lieu de Google Authenticator
Je vais recommander de faire ce que font la plupart des sources Wi-Fi publiques et d'exiger une authentification via un site Web avec des noms d'utilisateur et des mots de passe individuels. Utilisez également un mot de passe WPA si vous le souhaitez, il offrira une certaine protection contre les reniflements occasionnels.
Ceci est disponible via le routeur gratuit DD-WRT , en particulier via un logiciel appelé ChiliSpot . Vous pouvez ensuite utiliser un fournisseur tiers pour gérer l'authentification des utilisateurs.
ChilliSpot est un contrôleur de point d'accès sans fil ou LAN Captive_Portal open source. Il est utilisé pour authentifier les utilisateurs. Il prend en charge la connexion Web, qui est la norme actuelle pour les HotSpots publics. L'authentification, l'autorisation et la comptabilité (AAA) sont gérées par un fournisseur en ligne ou un service de rayon local que vous fournissez.
Chaque enseignant aurait alors un identifiant individuel. Bien que les mots de passe puissent toujours "fuir", vous pouvez facilement changer n'importe quel mot de passe pour un utilisateur puisque le service propose également la comptabilité, et vous découvrirez quelle personne est responsable de la fuite du mot de passe. En ce moment, je suis sûr que c'est une douleur majeure que de changer la clé pré-partagée car elle doit être communiquée à tant de gens, donc je suppose que vous ne le faites pas très souvent. En outre, taper un nom d'utilisateur et un mot de passe "ressemble" plus à un piratage qu'à un simple partage d'un mot de passe WPA (ce que les gens font tout le temps). Donc, même ce seul changement réduira probablement les abus même si une connexion individuelle est divulguée.
Je vais déconseiller le filtrage des adresses MAC car c'est un cauchemar de maintenance chaque fois qu'un enseignant veut connecter un nouvel appareil au réseau. Cela pourrait être fait bien sûr, mais semble plus problématique que cela en vaut la peine. L'usurpation d'adresse MAC est également relativement triviale, et une fois découverte, ce ne serait qu'une question de temps avant que tout le monde sache comment le faire.
Je suppose que vous avez déjà pensé à l'option "application" et que vous l'avez rejetée pour vos propres raisons. Bien. J'espère que les écoles ne vont pas plus loin sur le chemin de la ressemblance avec les prisons que les lieux d'apprentissage.
Trouvez un moyen de ne pas divulguer le mot de passe. Je n'ai pas d'expérience avec cet outil, mais SpiceWorks a un programme gratuit de gestion des appareils mobiles sur http://www.spiceworks.com/free-mobile-device-management-mdm-software/ . Utilisez-le pour distribuer le mot de passe WPA2 à tous les ordinateurs autorisés à se connecter. Si un étudiant met la main sur l'installateur, cela ne l'aidera pas car vous pouvez le configurer de sorte que l'appareil doit être approuvé avant d'obtenir le mot de passe.
IEEE 802.1X est une norme pour le contrôle d'accès réseau basé sur port (PNAC) - il fournit un mécanisme d'authentification aux périphériques souhaitant se connecter à un LAN ou WLAN.
Il existe différentes façons de le configurer, vous devrez donc vérifier quels sont votre équipement et vos besoins, mais un cas d'utilisation typique est si vous avez un MS ActiveDirectory avec tous vos utilisateurs (personnel) ayant des comptes AD. Vous pouvez ensuite configurer un serveur RADIUS et les utilisateurs peuvent ensuite s'authentifier avec leurs informations d'identification de domaine normales pour accéder au réseau.
Voici une stratégie différente. Commençons par supposer ce qui suit:
Maintenant, étant donné tout cela, la seule solution qui, selon moi, convient au cas d'utilisation est un mot de passe qui change fréquemment. Certes, cela peut être un peu délicat à mettre en œuvre mais pas impossible.
Pensons d'abord à ce qui pourrait fonctionner pour votre cas d'utilisation, puis nous pourrons nous demander comment l'implémenter. Ce dont vous avez besoin, c'est d'un système qui génère un mot de passe avec une expiration. Disons que chaque jour, lorsque quelqu'un essaie de se connecter, vous lui envoyez un code d'accès qui fonctionne pendant 8 heures via un support hors canal qui fonctionnerait. par exemple. utilisez un SMS/message texte pour leur envoyer le code d'accès. Les téléphones portables sont omniprésents. Presque tout votre personnel les aura. Du côté positif, le mot de passe ne doit pas être très long et difficile maintenant. Un code numérique à 4 ou 6 chiffres devrait suffire dans la plupart des cas.
Dans ce système, même si un enseignant donne un mot de passe, accidentellement ou intentionnellement, les dommages sont minimes car le nombre d'utilisateurs illégitimes pouvant obtenir le mot de passe en 8 heures est limité. Et le mot de passe n'est plus bon après ça.
Fondamentalement, rendez la vie plus difficile aux méchants.
Si vous souhaitez aggraver les choses, vous pouvez également faire en sorte que tout code d'accès ne soit valide que pour un seul appareil.
Implémentation: Je ne sais pas comment les systèmes sont appelés mais j'ai déjà vu cela dans les aéroports (en particulier en dehors des États-Unis) et dans d'autres lieux publics auparavant. Je dois entrer mon numéro de téléphone portable et accepter les termes de la page de connexion qui m'est présentée lorsque j'essaie de me connecter à un réseau WiFi, puis le système m'envoie un SMS sur mon téléphone portable avec le code d'accès nécessaire pour la connexion.
Envoi des messages texte: Avec quelque chose comme Twilio ou des dizaines d'autres SMS API l'envoi en ligne du message ne devrait pas être si difficile. À moins d'un cent par message envoyé, il ne devrait pas surcharger votre budget.
Alternative à la messagerie texte: Utilisez un générateur de code PIN basé sur le temps comme l'un de ces télécommandes RSA ou même l'authentificateur propre à Google. Mais la programmation de ce type de solution et son intégration dans votre solution peuvent ne pas être triviales.
Vous abordez le problème dans le mauvais sens, et vous vous faites (et l'institution en général) l'ennemi. Le corps étudiant est, collectivement, plus intelligent et dispose de plus de ressources. N'oubliez pas non plus pour qui vous travaillez.
Si j'étais à votre place, je prendrais le chemin le plus simple - un réseau wifi étudiant complètement ouvert. Oui, vous avez bien lu - aucune restriction du tout.
La façon dont vous le "contrôlez" permet de bien savoir que le réseau est surveillé. Et tout trafic "inhabituel" sera affiché sur le site Web de l'école pour que tout le monde puisse le voir.
Vous incluez des classes d'âge de l'information, oui? Comment fonctionnent les réseaux, piratage de mot de passe, sécurité de l'information, analyse de l'arnaque du mois, etc.? Sinon, vous échouez dans votre travail d'éducateur. Nous sommes bien dans le XXIe siècle, ce sont des connaissances requises et plutôt plus importantes que la longue division ou la Révolution française. Leurs téléphones font déjà la division.
Vous avez des enseignants qui distribuent des mots de passe avec désinvolture aux élèves. Le premier groupe dont vous avez besoin pour éduquer sur l'utilisation du réseau est vos enseignants. Sinon, de nouvelles mesures de sécurité sont inutiles.
En supposant que vous utilisez un mot de passe fort pour la clé WiFi et que vous utilisez WPA2 (pas WEP ou même WPA, mais WPA2), le réseau sans fil n'est pas particulièrement facile pénétrer.
Ce qui signifie que vos professeurs donnent le mot de passe à vos élèves, soit directement et intentionnellement, soit par un traitement laxiste de sécurité (écrire le mot de passe, laisser les ordinateurs déverrouillés, etc.)
Il existe de nombreuses autres réponses concernant des choses comme le filtrage des adresses MAC (inutiles), établissant des conséquences claires pour une mauvaise utilisation du réseau, etc.
Certaines réponses abordent également la possibilité de donner aux étudiants leur propre réseau à utiliser.
Quelques réponses ont suggéré des variantes de configuration d'un réseau sécurisé. Cela peut être fait avec un investissement relativement minime et peut être facilement étendu pour fournir plusieurs réseaux pour différentes utilisations (réseau enseignant/administrateur pour les choses sensibles, réseau étudiant pour les Chromebooks en classe et peut-être même une utilisation limitée des propres appareils des étudiants).
Si vous avez Active Directory (un serveur Windows) ou un serveur SAMBA Linux, vous pouvez configurer l'authentification WPA-Enterprise sur votre réseau sans fil.
De plus, vous pouvez déployer des points d'accès relativement abordables qui communiquent entre eux et vous permettent de servir plusieurs SSID (plus d'un réseau sans fil), chacun sur un VLAN distinct. Chaque VLAN est un réseau séparé et ne peut pas communiquer avec d'autres VLAN sauf via un routeur, donc le routeur est l'endroit où vous établissez des règles de pare-feu pour contrôler ce qui peut communiquer avec quoi. Et un réseau peut utiliser WPA- Enterprise tandis qu'une autre utilise WPA2 ou est ouverte mais force l'authentification via un portail invité captif et un pare-feu empêchant les connexions au réseau d'administration.
Le simple fait d'accorder aux étudiants un domaine connecté au réseau peut réduire le nombre d'entre eux qui souhaitent enfreindre la politique et risquer que leurs notes ou leurs étés pénètrent dans le réseau d'administration sensible.
Je n'essaie pas de vendre un équipement particulier, mais comme un exemple, vous pouvez obtenir des AP Ubiquiti Unifi pour moins de 70 $ chacun. Ils peuvent servir jusqu'à quatre SSID, et le logiciel du contrôleur est "gratuit" et fonctionne sur Windows ou Linux et comprend un portail invité vous permettant d'exiger que les visiteurs (alias "étudiants") se connectent individuellement pour accéder au réseau. Vous pouvez en déployer autant que vous le souhaitez afin d'obtenir une couverture sans fil adéquate, et les appareils/ordinateurs portables se déplaceront de manière transparente parmi tous les points d'accès. Ce sont des appareils PoE, donc tout ce dont ils ont besoin pour fonctionner est un câble Ethernet. http://www.Amazon.com/Ubiquiti-Networks-UniFi-Enterprise-System/dp/B004XXMUCQ
Vous pouvez obtenir un vrai routeur pour 100 $ qui poussera près d'un gigabit par seconde via le moteur de routage (en fait, pour 50 $ avec un débit légèrement inférieur si vous obtenez la version "petit frère", et oui je pense à une marque particulière). L'un ou l'autre de ces petits routeurs vous donnerait une seule connexion Internet (ou des connexions redondantes si vous préférez) et la possibilité de segmenter le réseau en plusieurs VLAN et de contrôler les communications entre ces segments, et de présenter un serveur DHCP différent pour chaque segment de réseau. Vous pouvez donc diriger toutes les connexions des étudiants via un serveur proxy qui enregistre l'activité et surveille les choses sournoises/inappropriées si c'est ce que vous voulez faire.
Vous pouvez obtenir un commutateur Gigabit Ethernet géré ("intelligent") à 8 ports avec une prise en charge VLAN pour 30 $, ou une version à 24 ports du commutateur pour 80 $. Pour l'échelle et le budget que vous ' En ce qui concerne, vous n'avez pas à dépenser des milliers de dollars par appareil pour utiliser des commutateurs HP Procurve ou Cisco haut de gamme et des appareils sans fil super chers avec des contrôleurs matériels dédiés. Ce sont excellents, ne vous méprenez pas, mais si ce n'est pas dans le budget, alors ce n'est pas dans le budget.
Pour quelques centaines de dollars, une personne possédant un peu de connaissances en réseau et un accès à la documentation et aux forums en ligne pourrait mettre en place un réseau robuste.
Vous devriez en parler aux enseignants, afin qu'ils ne donnent pas de mots de passe aux étudiants, puis appliquer le schéma WPA2-Enterprise.
Il y a eu beaucoup de bonnes réponses sur l'utilisation de WPA Enterprise qui est la bonne façon de sécuriser un réseau Wifi à plusieurs utilisateurs. Les portails captifs fonctionneraient aussi, et je doute que plus d'un couple d'étudiants ne serait dérangé d'essayer d'usurper les adresses MAC et les cookies pour essayer de contourner cela.
Passer à Ethernet filaire est ma réponse préférée. Être en présence de Wifi est connu pour avoir des effets néfastes sur la santé des gens. Les réponses concernant la discipline des étudiants sont également bonnes.
La question est de savoir comment éloigner les étudiants du réseau WiFi. Ma réponse est de leur faire ne pas vouloir en faire partie. Ceci est une école. C'est pour l'éducation. Filtrez tout le contenu non éducatif sur l'ensemble du réseau pendant les heures de classe. Cela empêcherait les enseignants et les élèves de se moquer pendant les heures de classe. Cela pourrait être fait avec une liste blanche de services éducatifs, bloquant tout le contenu non éducatif connu, y compris éventuellement tout le trafic SSL/TLS non répertorié, et limitant tout ce qui est inconnu à 1 Ko/s. Le contenu multimédia semble être ce que de nombreux étudiants utilisent. 1 Ko/sec mettrait fin à cela. Les enseignants peuvent envoyer un e-mail à l'avance pour demander le déblocage des sites. Après un certain temps, une belle collection de sites éducatifs serait autorisée. Les enseignants seront probablement contrariés par le fait que youtube.com ne fonctionne pas. Expliquez aux enseignants que les vidéos doivent être téléchargées à l'avance à l'aide de l'un des nombreux téléchargeurs de vidéos.
Si un nombre limité d'enseignants ont besoin d'un accès non filtré complet, un proxy HTTP/HTTPS avec un mot de passe (ou un mot de passe différent par enseignant) peut être configuré pour ces enseignants. En fait, la configuration de l'ensemble du réseau pour exiger un proxy pour sortir est une alternative à la sécurisation du wifi.
Je me rends compte que cette idée va à l'encontre de ce que veulent des entreprises comme Google, où leurs produits (comme les Chromebooks) ne fonctionneront pas du tout dans un réseau filtré à moins que vous débloquiez youtube (ce qui est pratiquement tout ce qui concerne le divertissement). Voulez-vous que l'école soit destinée à l'éducation, ou que de grandes entreprises viennent et essaient de contourner les enseignants et de fournir du contenu directement aux étudiants?
Une autre façon de filtrer les choses est de le permettre en partie mais de le casser d'une manière ou d'une autre. Youtube fait cela quand il veut censurer quelque chose. Ils ne le supprimeront pas de Youtube, mais ils ne le feront pas apparaître dans les vidéos associées. Cela empêche les gens de quitter YouTube où les choses sont aussi censurées, tout en empêchant la plupart des gens de le voir. Vous pouvez attribuer de manière aléatoire toutes les adresses MAC appartenant à Apple (comme les iPhones) à la liste limitée à 5 Ko/s, en supposant que les ordinateurs des enseignants ne sont pas Apple. Vous pouvez demander à tous les enseignants de tourner puis surveillez toutes les adresses MAC utilisées et affectez-les à la liste de filtrage ou de blocage, ou limitez-les à 5 Ko/s. Certains appareils étudiants fonctionneront toujours et il leur faudra beaucoup de temps pour comprendre ce qui se passe. sur.
Vous pouvez surveiller les sites dont vous savez que seuls les étudiants sont actifs, puis les bloquer en fonction des adresses MAC. La plupart des combinaisons étudiant/appareil empêcheront le changement d'adresse MAC. Finalement, quelqu'un découvrira probablement une rupture de prison et ainsi de suite, un filtrage à l'échelle du réseau, Ethernet câblé ou WPA Enterprise devra être déployé.