39
Internetzugang verhindern
Hallo,
ich habe folgendes Schulnetz zur Verfügung: In jedem Klassenzimmer einen Laptop, der über Lan am Server hängt. Server (2008), Laptop und FritzBox 7270 liegen natürlich im gleichen Ip Bereich. Die Benutzer müssen sich an der Domäne anmelden. Jedem Laptop wird über eine DHCP Richtline per mac-Adresse eine ip zugewiesen. Es stehen nur soviel ip Adressen wie Laptops zur Verfügung. Die Laptops werden nach Gebrauch eingesperrt.
Das Problem leider ist: Nimmt ein Schüler seinen Laptop von zu Hause mit, steckt ihn im Klassenzimmer per Lan an und gibt sich selbst eine ip aus dem reservierten Bereich und trägt als Gateway die ip der Fritzbox ein, kann er mit seinem Computer ins Netz. Sehr problematisch....
Was könnte ich dagegen tun?
ich habe folgendes Schulnetz zur Verfügung: In jedem Klassenzimmer einen Laptop, der über Lan am Server hängt. Server (2008), Laptop und FritzBox 7270 liegen natürlich im gleichen Ip Bereich. Die Benutzer müssen sich an der Domäne anmelden. Jedem Laptop wird über eine DHCP Richtline per mac-Adresse eine ip zugewiesen. Es stehen nur soviel ip Adressen wie Laptops zur Verfügung. Die Laptops werden nach Gebrauch eingesperrt.
Das Problem leider ist: Nimmt ein Schüler seinen Laptop von zu Hause mit, steckt ihn im Klassenzimmer per Lan an und gibt sich selbst eine ip aus dem reservierten Bereich und trägt als Gateway die ip der Fritzbox ein, kann er mit seinem Computer ins Netz. Sehr problematisch....
Was könnte ich dagegen tun?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 138958
Url: https://administrator.de/contentid/138958
Ausgedruckt am: 25.11.2024 um 04:11 Uhr
39 Kommentare
Neuester Kommentar
Hallo,
also ordenltich gemacht würde sowas mit einem Rroxy gehen, der entweder die Rechner an der Mac erkennt (nicht so gut) oder
die User über das Active Directory authentifiziert (gut) und sie nur so ins Netz lässt.
Wenn kein Geld und keine Linux Erfahrung vorhanden ist, am besten IPCOP mit Classroom Extension und Advanced Proxy benutzen.
also ordenltich gemacht würde sowas mit einem Rroxy gehen, der entweder die Rechner an der Mac erkennt (nicht so gut) oder
die User über das Active Directory authentifiziert (gut) und sie nur so ins Netz lässt.
Wenn kein Geld und keine Linux Erfahrung vorhanden ist, am besten IPCOP mit Classroom Extension und Advanced Proxy benutzen.
Oder das Mitnehmen von eigenen Geräten verbieten
habe leider keine linux und proxy erfahrung. alternativen?
Kindersicherung http://www.avm.de/de/Service/FAQs/FAQ_Sammlung/13235.php3 einrichten und allen den Zugriff verbieten ausser den Benutzern die in der Kindersicherung eingerichtet sind. Und dann einfach alle Laptops konfigurieren.
Oder aber wirklich wie bereits von anderen geschrieben eine "professionellere" Lösung wählen und jemand ranlassen der das kann.
Oder aber wirklich wie bereits von anderen geschrieben eine "professionellere" Lösung wählen und jemand ranlassen der das kann.
Hallo,
in so einem Fall empfehle ich die Verwendung einer "besseren" Firewall, in dieser kann man u.A. einstellen, welche PC´s mit welcher MAC addresse ins Internet dürfen und welche nicht.
Gerade im Bereich von Jungendlichen, die meisten mehr Ahnung haben als viele andere, wird das Umgehen von Sperren zu einem Sport.
Die Fritzbox ist für mich kein gutes Gerät für diese Art von Anwendung.
Grüsse
Thomas
PS: Ich glaube aber in der Fritzbox gibt es eine Möglichkeit nur bestimmte Mac Addressen im Netz zugriff auf die Fritzbox zu erlauben
in so einem Fall empfehle ich die Verwendung einer "besseren" Firewall, in dieser kann man u.A. einstellen, welche PC´s mit welcher MAC addresse ins Internet dürfen und welche nicht.
Gerade im Bereich von Jungendlichen, die meisten mehr Ahnung haben als viele andere, wird das Umgehen von Sperren zu einem Sport.
Die Fritzbox ist für mich kein gutes Gerät für diese Art von Anwendung.
Grüsse
Thomas
PS: Ich glaube aber in der Fritzbox gibt es eine Möglichkeit nur bestimmte Mac Addressen im Netz zugriff auf die Fritzbox zu erlauben
Zitat von @St-Andreas:
Kindersicherung http://www.avm.de/de/Service/FAQs/FAQ_Sammlung/13235.php3 einrichten und allen den Zugriff verbieten ausser den
Benutzern die in der Kindersicherung eingerichtet sind. Und dann einfach alle Laptops konfigurieren.
Kindersicherung http://www.avm.de/de/Service/FAQs/FAQ_Sammlung/13235.php3 einrichten und allen den Zugriff verbieten ausser den
Benutzern die in der Kindersicherung eingerichtet sind. Und dann einfach alle Laptops konfigurieren.
Das bringt nix. die Leutz nehmen Ihre PRIVATEN Labtops mit. von daher geht das ned.
Vill. den Server so konfigurieren, dass er nur IP´s an die geräte verweißt, welche in der richtigen Arbeitsgruppe sind...
Hallo,
und welchen Sinn haben Sperren anhand von Mac-Adressen, wenn die Jugendlichen meist mehr Ahnung haben und dann ziemlich schnell ne MAC-Adresse klonen?
und welchen Sinn haben Sperren anhand von Mac-Adressen, wenn die Jugendlichen meist mehr Ahnung haben und dann ziemlich schnell ne MAC-Adresse klonen?
vill so:
Der Server lässt nur "gedumpte" PC´s ins Netz.
Die IP krigt man erst, wenn der Server auf der Festplatte eine "Dumping_Datei" gefunden hat.
Der Server lässt nur "gedumpte" PC´s ins Netz.
Die IP krigt man erst, wenn der Server auf der Festplatte eine "Dumping_Datei" gefunden hat.
Bitte meinen Kommentar nochmal lesen!
In der Fritzbox werden ALLE NICHT DURCH DIE KINDERSICHERUNG AUTHENTIFIZIERTEN GERÄTE abgewiesen. Das bedeutet das ALLE GERÄTE (also vor allem auch die privaten) die die Software NICHT haben NICHT ins Internet kommen.
Auf den Geräten die ins Internet dürfen, also die Geräte die im administrativen Zugriff des Lehrers sind, muss die Kindersicherung eingerichtet und konfiguriert werden. Kann dabei aber "offen" konfiguriert werden.
Danke für das vollständige, genaue Lesen meiner Postings.
In der Fritzbox werden ALLE NICHT DURCH DIE KINDERSICHERUNG AUTHENTIFIZIERTEN GERÄTE abgewiesen. Das bedeutet das ALLE GERÄTE (also vor allem auch die privaten) die die Software NICHT haben NICHT ins Internet kommen.
Auf den Geräten die ins Internet dürfen, also die Geräte die im administrativen Zugriff des Lehrers sind, muss die Kindersicherung eingerichtet und konfiguriert werden. Kann dabei aber "offen" konfiguriert werden.
Danke für das vollständige, genaue Lesen meiner Postings.
Hi derlehrer,
da kann ich questor nur zustimmen. Ich würde eine alte Krücke irgentwo billig erwerben und da ne Monowall oder eine Pfsense drauf installieren. Beide lassen sich ganz gut bedienen wenn man sie am Start hat und sie sind auch beide ganz gut Dokumentiert.
Gruß FISI-AZUBI2010
da kann ich questor nur zustimmen. Ich würde eine alte Krücke irgentwo billig erwerben und da ne Monowall oder eine Pfsense drauf installieren. Beide lassen sich ganz gut bedienen wenn man sie am Start hat und sie sind auch beide ganz gut Dokumentiert.
Gruß FISI-AZUBI2010
Ja genau. Und die Schüler können dann natürlich immer noch nicht die IP-Adresse an ihren privaten Geräten einstellen, weil denen ja dann die dumping-Datei fehlt?
Danke für die vielen Antworten!
Die Lösung mit der Kindersicherung scheint mir die für mich beste Lösung zu sein. Sie stellt ja so eine Art mac Adressen Filter dar.
@andreas#S: Wenn ich dich richtig verstanden habe, dann muss "Für Computer mit deaktivierter Kindersicherung ist die Internetnutzung gesperrt. " eingestellt werden und bei den erlaubten Rechnern die Kindersicherung 24h 7 Tage die Woche aktiviert werden.
PS: .. eine "professionellere" Lösung wählen und jemand ranlassen der das kann... geht leider nicht, weil das Geld kostet, das der Staat nach den vielen Bankenrettungen nicht mehr hat und ich als armer Beamter das umsonst in meiner Freizeit machen kann... In der Arbeit muss ich nämlich schlafen......
Die Lösung mit der Kindersicherung scheint mir die für mich beste Lösung zu sein. Sie stellt ja so eine Art mac Adressen Filter dar.
@andreas#S: Wenn ich dich richtig verstanden habe, dann muss "Für Computer mit deaktivierter Kindersicherung ist die Internetnutzung gesperrt. " eingestellt werden und bei den erlaubten Rechnern die Kindersicherung 24h 7 Tage die Woche aktiviert werden.
PS: .. eine "professionellere" Lösung wählen und jemand ranlassen der das kann... geht leider nicht, weil das Geld kostet, das der Staat nach den vielen Bankenrettungen nicht mehr hat und ich als armer Beamter das umsonst in meiner Freizeit machen kann... In der Arbeit muss ich nämlich schlafen......
Hallo,
macht mir doch etwas Sorgen, dass der Staat einen Internet Zugang für Schüler in einer Schule genehmigt und dann die "Sicherheit" bzgl. nicht autorisierten und illegalen Zugriff komplett ausser acht lässt.
Ein Konzept: Internetzugang ja, Schutz bzgl. Inhalten und Zugruff NEIN kann und will mir nicht in den Kopf.
Grüsse
Thomas
macht mir doch etwas Sorgen, dass der Staat einen Internet Zugang für Schüler in einer Schule genehmigt und dann die "Sicherheit" bzgl. nicht autorisierten und illegalen Zugriff komplett ausser acht lässt.
Ein Konzept: Internetzugang ja, Schutz bzgl. Inhalten und Zugruff NEIN kann und will mir nicht in den Kopf.
Grüsse
Thomas
Effektive Lösungen sind (siehe unten) oder Domain Isolation.
Alles andere ist viel heiße Luft.
Ursprünglich stand da: die von Andreas#S (wobei ich hier nicht weiß wie gut die Implentation ist) - nach den Videos von aqui ist aber klar, dass die Implementation Mist ist.
Die Kommentare beim ersten Video sind aber ziemlich witzig
Alles andere ist viel heiße Luft.
Ursprünglich stand da: die von Andreas#S (wobei ich hier nicht weiß wie gut die Implentation ist) - nach den Videos von aqui ist aber klar, dass die Implementation Mist ist.
Die Kommentare beim ersten Video sind aber ziemlich witzig
Mir auch nicht. Ich versuch halt mit meinen Mitteln das Beste....
Ich bin Lehrer, kein IT Fachmann. Musste das Netzwerk übrigens komplett selbst einrichten, Homeverzeichnis, servergespeicherte Profile etc...
Es wurde ein Netzwerk in Standardausführung ;) ausgeschrieben. Standard definierte die Firma, die den Zuschlag erhielt, mit jeder darf alles sprich Server und Client aufgesetzt, das war es.
Ich bin Lehrer, kein IT Fachmann. Musste das Netzwerk übrigens komplett selbst einrichten, Homeverzeichnis, servergespeicherte Profile etc...
Es wurde ein Netzwerk in Standardausführung ;) ausgeschrieben. Standard definierte die Firma, die den Zuschlag erhielt, mit jeder darf alles sprich Server und Client aufgesetzt, das war es.
Solange immer noch genug Geld da ist alle Lehrer und Schüler mit teuren Windows Lizenzen und MS Produkten zu Windows Knechten zu machen ist doch alles gut...man kauft sich halt eine Lösung statt sie zu erarbeiten.
Hätten die Lehrer nur minimalstes KnowHow über den Winblows Horizont hinaus (was man eigentlich auch hat wenn man einen Browser bedienen kann..) dann müssten solche Fragen gar nicht erst gestellt werden.
Damit kann man solche Anforderungen einfach und zudem noch kostenlos lösen. Andere Schulen gehen mit solchen Beispielen voran...
Vorteil für die Schule und Vorteil für die Computerbildung die so nicht einseitig verläuft !
Aber gut das es MS und AVM gibt !!
Allerdings feixen die Schüler sich schon einen die ein MacBook, ein NetBook mit Linux, eine bootbare Knoppix CD oder ihre zahllosen WLAN Handys benutzen. Da greift die halbgare AVM Lösung wieder nicht...da MS orientiert. Wäre mal spannend zu wissen wie lange das dauert...
YouTube hat wenigstens schon die Lösung zur Umgehung der AVM Lösung gleich parat für die Schüler:
http://www.youtube.com/watch?v=zVdbSeIACVE
und
http://www.youtube.com/watch?v=POfkbEXiB6w
Viel heiße Luft also...wie immer !
Hätten die Lehrer nur minimalstes KnowHow über den Winblows Horizont hinaus (was man eigentlich auch hat wenn man einen Browser bedienen kann..) dann müssten solche Fragen gar nicht erst gestellt werden.
Damit kann man solche Anforderungen einfach und zudem noch kostenlos lösen. Andere Schulen gehen mit solchen Beispielen voran...
Vorteil für die Schule und Vorteil für die Computerbildung die so nicht einseitig verläuft !
Aber gut das es MS und AVM gibt !!
Allerdings feixen die Schüler sich schon einen die ein MacBook, ein NetBook mit Linux, eine bootbare Knoppix CD oder ihre zahllosen WLAN Handys benutzen. Da greift die halbgare AVM Lösung wieder nicht...da MS orientiert. Wäre mal spannend zu wissen wie lange das dauert...
YouTube hat wenigstens schon die Lösung zur Umgehung der AVM Lösung gleich parat für die Schüler:
http://www.youtube.com/watch?v=zVdbSeIACVE
und
http://www.youtube.com/watch?v=POfkbEXiB6w
Viel heiße Luft also...wie immer !
Da muss ich dir aber mal widersprechen, aqui.
Ein durchschnittlicher Lehrer hat schon mal 24-28 Wochenstunden (45m) Unterricht. Mit Pausen etc. sind das schon mal mind. 20 Stunden in der Schule.
Die restlichen kann ein Lehrer (entgegen allgemeiner Annahmen) nicht abfeiren sonden soll die verwenden um zuhause Klausuren zu korrigieren und Unterrichtsstunden zu konzipieren (und nach deren Aussage dauert das teilweise bis in die Nacht hinein).
Das ein Lehrer dann nicht noch Lust hat sich mit PCs zu beschäftigen (auch der "EDV-Beauftragte" bekommt dafür vielleicht mal 4 Entlastungs(schul)stunden wenn er Glück hat) kann ich nachvollziehen.
Und so leicht wie du es hier darstellst ist es auch nicht
Ein gut funktionierendes Schulnetzwerk aufzubauen, dass auch noch halbwegs sicher ist könnte man mit Microsoft als Ganztagsjob machen - das selbe mit Linux und man bräuchte schon 2 Vollzeit-Admins.
Über den Aufwand den Lehrerschulungen nach sich ziehen würden wollen wir mal garnicht reden(*).
Und auch unter Linux ist zertifikatbasiertes IPSec (was MS als "Domain Isolation" bezeichnet) die einzige mir bekannte Möglichkeit, die sich nicht in max. 10 Minuten aushebeln lässt.
(*) Linux-Server und Windows-Clients ist in meinen Augen ein No-Go, weil es noch nie richtig funktioniert hat und wohl auch nie wird. Die Umgebung muss homogen sein.
Ein durchschnittlicher Lehrer hat schon mal 24-28 Wochenstunden (45m) Unterricht. Mit Pausen etc. sind das schon mal mind. 20 Stunden in der Schule.
Die restlichen kann ein Lehrer (entgegen allgemeiner Annahmen) nicht abfeiren sonden soll die verwenden um zuhause Klausuren zu korrigieren und Unterrichtsstunden zu konzipieren (und nach deren Aussage dauert das teilweise bis in die Nacht hinein).
Das ein Lehrer dann nicht noch Lust hat sich mit PCs zu beschäftigen (auch der "EDV-Beauftragte" bekommt dafür vielleicht mal 4 Entlastungs(schul)stunden wenn er Glück hat) kann ich nachvollziehen.
Und so leicht wie du es hier darstellst ist es auch nicht
Ein gut funktionierendes Schulnetzwerk aufzubauen, dass auch noch halbwegs sicher ist könnte man mit Microsoft als Ganztagsjob machen - das selbe mit Linux und man bräuchte schon 2 Vollzeit-Admins.
Über den Aufwand den Lehrerschulungen nach sich ziehen würden wollen wir mal garnicht reden(*).
Und auch unter Linux ist zertifikatbasiertes IPSec (was MS als "Domain Isolation" bezeichnet) die einzige mir bekannte Möglichkeit, die sich nicht in max. 10 Minuten aushebeln lässt.
(*) Linux-Server und Windows-Clients ist in meinen Augen ein No-Go, weil es noch nie richtig funktioniert hat und wohl auch nie wird. Die Umgebung muss homogen sein.
Moin,
[1/2 OT]
da sieht man mal wieder wie ungerecht die Welt ist. Wir haben Azubis, die noch nicht 18 sind und "deswegen" haben wir das große Fass aufgemacht, das unsere Schwarzkassen für die nächsten Jahrzehnte leer sind und in den Schulen machts der Lehrer nebenher ohne Netz & doppelten Boden.
Von daher sehe ich das wie Questor.
Und wie immer gilt auch hier - Frank hat diesem Forum nicht nur eine Suchfunktion spendiert, sondern auch den Suchmaschinen erlaubt, hier herum zu "schnüffeln" und deswegen bringt der beste Insider nix, weil irgendein Praezept dann schreibt
Wenn nicht per monowall, aber die Kisten in einer Domain dann ~so
Ich "denke" das ist Besser als garnix - was halt schwerwiegend ist - ist das mit dem Passwort in der Batch.
Falls das da oben noch einer Erklärung bedarf - gerne.
Ps: Ich hab anno dunnemals nicht nur meiner alten Schule nen Satz 486er spendiert, sondern hab denen das netz auch aufgebaut, als ich dann P3 vorbeibringen wollte - wurde ich ausgebuht ;-(
Macht ein semiprofessioneller für "viel" Kohle wenig Knoffhoff.
Gruß
[1/2 OT]
da sieht man mal wieder wie ungerecht die Welt ist. Wir haben Azubis, die noch nicht 18 sind und "deswegen" haben wir das große Fass aufgemacht, das unsere Schwarzkassen für die nächsten Jahrzehnte leer sind und in den Schulen machts der Lehrer nebenher ohne Netz & doppelten Boden.
Von daher sehe ich das wie Questor.
Und wie immer gilt auch hier - Frank hat diesem Forum nicht nur eine Suchfunktion spendiert, sondern auch den Suchmaschinen erlaubt, hier herum zu "schnüffeln" und deswegen bringt der beste Insider nix, weil irgendein Praezept dann schreibt
Na wunderbar... und das finde ich 3 tage nachdem ich das gesammte netzwerk resetet habe -.-
[/1/2 OT]Wenn nicht per monowall, aber die Kisten in einer Domain dann ~so
rem @ECHO off
cls
SET ip=192.168.178.
SET log=alle_in_178.txt
set user=username
set pass=geheim
echo %date%:%time%>%log%
FOR /L %%i IN (2,1,254) DO (
ping -n 1 -w 5 %ip%%%i|find "TTL=" && ECHO %ip%%%i>> %log%)
for /f %%i in (%log%) do (
net use b: /delete /yes
net use b: \\%%i\c$ %pass% /user:domain\%user%
if not exist b:\ echo Rechner %%i gehört nicht in meine Domain >>payattention.txt
)
if exist payattention.txt notepad payattention.txtIch "denke" das ist Besser als garnix - was halt schwerwiegend ist - ist das mit dem Passwort in der Batch.
Falls das da oben noch einer Erklärung bedarf - gerne.
Ps: Ich hab anno dunnemals nicht nur meiner alten Schule nen Satz 486er spendiert, sondern hab denen das netz auch aufgebaut, als ich dann P3 vorbeibringen wollte - wurde ich ausgebuht ;-(
Macht ein semiprofessioneller für "viel" Kohle wenig Knoffhoff.
Gruß
Danke dog,
ich bekomme übrigens nur 2 Entlastungsstunden für momentan DREI Netzwerke mit drei Server, ca 130 Computer in Mischbetrieb, d.h. nur etwa jeweils 10 sind gleich. Hab da viel Spass beim Einrichten und Clonen. Es gibt natürlich auch eine Vielzahl an Druckern, Scanner, Kameras, Beamer, interaktive Tafeln usw.
Wie viel würde ich wohl monatlich verdienen, wenn ich die drei Netzwerke in der freien Wirtschaft betreuen müsste?
ich bekomme übrigens nur 2 Entlastungsstunden für momentan DREI Netzwerke mit drei Server, ca 130 Computer in Mischbetrieb, d.h. nur etwa jeweils 10 sind gleich. Hab da viel Spass beim Einrichten und Clonen. Es gibt natürlich auch eine Vielzahl an Druckern, Scanner, Kameras, Beamer, interaktive Tafeln usw.
Wie viel würde ich wohl monatlich verdienen, wenn ich die drei Netzwerke in der freien Wirtschaft betreuen müsste?
[...]
Je nach Region und Arbeitgeber ca. 2.000-2.500 Euro wenn man die Qualifikation mit betrachtet. Reine Vermutung.
Wie viel würde ich wohl monatlich verdienen, wenn ich die drei Netzwerke in der freien Wirtschaft betreuen müsste?
Je nach Region und Arbeitgeber ca. 2.000-2.500 Euro wenn man die Qualifikation mit betrachtet. Reine Vermutung.
Hi !
Ja klar, bei dem Preisdruck heute ist das ja auch kein Wunder, das kennen wir schon. Das ist auch der Grund warum wir bei Ausschreibungen der öffentlichen Hand schon lange nicht mehr mitmachen. So schlecht kann es der Firma gar nicht gehen, dass wir da nochmal einsteigen würden. Wie Aqui schon sagt, teurere Software Lizenzen kaufen aber der Fachmann mit dem notwendigen Know How ist ja dann soooo teuer...Nene verarschen kann ich mich selbst....
Ich kenne das Spiel von unserer Schule hier: Ihr seit doch selbst schuld, ich würde mich als Lehrer da nicht hinsetzen und in meiner Freizeit am Netzwerk herumbasteln. Solange es Leute wie dich gibt, die sich so ausnutzen lassen, wird sich an der Situation in den Schulen nie was ändern. Ich an deiner Stelle würde die Verantwortlichen, mit ihren falsch gesetzten Einsparschwerpunkten, voll gegen die Wand fahren lassen. Allerdings ist die Frage, ob die Entscheidungsträger bei der öffentlichen Hand genauso lernfähig sind, wie sie es selbst von unseren Schülern lauthals einfordern...Wir sind doch eine Bildungsnation, schon vergessen?....Selten so gelacht...
mrtux
Zitat von @derlehrer:
Es wurde ein Netzwerk in Standardausführung ;) ausgeschrieben. Standard definierte die Firma, die den Zuschlag erhielt, mit
jeder darf alles sprich Server und Client aufgesetzt, das war es.
Es wurde ein Netzwerk in Standardausführung ;) ausgeschrieben. Standard definierte die Firma, die den Zuschlag erhielt, mit
jeder darf alles sprich Server und Client aufgesetzt, das war es.
Ja klar, bei dem Preisdruck heute ist das ja auch kein Wunder, das kennen wir schon. Das ist auch der Grund warum wir bei Ausschreibungen der öffentlichen Hand schon lange nicht mehr mitmachen. So schlecht kann es der Firma gar nicht gehen, dass wir da nochmal einsteigen würden. Wie Aqui schon sagt, teurere Software Lizenzen kaufen aber der Fachmann mit dem notwendigen Know How ist ja dann soooo teuer...Nene verarschen kann ich mich selbst....
Ich kenne das Spiel von unserer Schule hier: Ihr seit doch selbst schuld, ich würde mich als Lehrer da nicht hinsetzen und in meiner Freizeit am Netzwerk herumbasteln. Solange es Leute wie dich gibt, die sich so ausnutzen lassen, wird sich an der Situation in den Schulen nie was ändern. Ich an deiner Stelle würde die Verantwortlichen, mit ihren falsch gesetzten Einsparschwerpunkten, voll gegen die Wand fahren lassen. Allerdings ist die Frage, ob die Entscheidungsträger bei der öffentlichen Hand genauso lernfähig sind, wie sie es selbst von unseren Schülern lauthals einfordern...Wir sind doch eine Bildungsnation, schon vergessen?....Selten so gelacht...
mrtux
Hallo,
@derlehrer: Darf ich dich noch Fragen, wie man sich so mit einem Bein im Gefägnis fühlt ? Oder hast du einen WIRKSAMEN schutz gegen Abrufen von jugendgefährdenden Inhalten installiert ( Drogen,Sex, usw.) ?
Wenn nicht kann es dir schnell passieren, dass besorgte Eltern bei dir auf der Matte stehen und behaupten, dass Ihre Sprösslinge Inhalte abgerufen haben, die nich ihrem Alter entsprechen. Und dann: GUTE NACHT
Ich kann dir nur raten: PASS AUF oder lass dir einen "Persilschein" von deinem Chef geben, der bestätigt, das die Mittel zum ordentlichen Schutz der Schüler fehlt und du darauf hingewiesen hast.
Eine "gute" Lösung kostet in etwa 4000 Euro ( Antivirus / Content) und ist auf einer professionellen Firewall hinterlegt mit einem transparenten proxy.
Grüsse
Questor
@derlehrer: Darf ich dich noch Fragen, wie man sich so mit einem Bein im Gefägnis fühlt ? Oder hast du einen WIRKSAMEN schutz gegen Abrufen von jugendgefährdenden Inhalten installiert ( Drogen,Sex, usw.) ?
Wenn nicht kann es dir schnell passieren, dass besorgte Eltern bei dir auf der Matte stehen und behaupten, dass Ihre Sprösslinge Inhalte abgerufen haben, die nich ihrem Alter entsprechen. Und dann: GUTE NACHT
Ich kann dir nur raten: PASS AUF oder lass dir einen "Persilschein" von deinem Chef geben, der bestätigt, das die Mittel zum ordentlichen Schutz der Schüler fehlt und du darauf hingewiesen hast.
Eine "gute" Lösung kostet in etwa 4000 Euro ( Antivirus / Content) und ist auf einer professionellen Firewall hinterlegt mit einem transparenten proxy.
Grüsse
Questor
Eine "gute" Lösung macht man mit einem 802.1x fähigen Switch oder eben mit einem Proxy wie dem Squid und einer Benutzerauthentifizierung. Das kann heute sogar jeder Billigswitch aus Taiwan die ja hauptsächlich in Schulen im Einsatz sind und kostet keine 4000 sondern nur 400 Euronen.
Eine kostenlose Datenbank mit einem Radius Server noch dazu und aus ists mit den privaten Rechnern.
Allerdings muss man ums kostenlos zu halten dann Freeradius (oder Squid als Proxy) nehmen und da das wieder Linux ist wird derlehrer wohl wieder daran scheitern...
Aber....da die Schule ja viel Geld für MS Lizenzen ausgegeben hat findet sich vielleicht irgendwo ein MS Server.
Auf dem ist dann kostenfrei der MS IAS (ist auf der Server Install CD mit drauf) zusätzlich zu installieren und schon klappt es wieder die Schüler mit den bösen Privat PCs sicher auszusperren !! Es klappt also auch preiswert mit MS....
Eine kostenlose Datenbank mit einem Radius Server noch dazu und aus ists mit den privaten Rechnern.
Allerdings muss man ums kostenlos zu halten dann Freeradius (oder Squid als Proxy) nehmen und da das wieder Linux ist wird derlehrer wohl wieder daran scheitern...
Aber....da die Schule ja viel Geld für MS Lizenzen ausgegeben hat findet sich vielleicht irgendwo ein MS Server.
Auf dem ist dann kostenfrei der MS IAS (ist auf der Server Install CD mit drauf) zusätzlich zu installieren und schon klappt es wieder die Schüler mit den bösen Privat PCs sicher auszusperren !! Es klappt also auch preiswert mit MS....
Zitat von @Questor:
Hallo,
@derlehrer: Darf ich dich noch Fragen, wie man sich so mit einem Bein im Gefägnis fühlt ? Oder hast du einen WIRKSAMEN
schutz gegen Abrufen von jugendgefährdenden Inhalten installiert ( Drogen,Sex, usw.) ?
Wenn nicht kann es dir schnell passieren, dass besorgte Eltern bei dir auf der Matte stehen und behaupten, dass Ihre
Sprösslinge Inhalte abgerufen haben, die nich ihrem Alter entsprechen. Und dann: GUTE NACHT
Ich kann dir nur raten: PASS AUF oder lass dir einen "Persilschein" von deinem Chef geben, der bestätigt, das die
Mittel zum ordentlichen Schutz der Schüler fehlt und du darauf hingewiesen hast.
Hallo,
@derlehrer: Darf ich dich noch Fragen, wie man sich so mit einem Bein im Gefägnis fühlt ? Oder hast du einen WIRKSAMEN
schutz gegen Abrufen von jugendgefährdenden Inhalten installiert ( Drogen,Sex, usw.) ?
Wenn nicht kann es dir schnell passieren, dass besorgte Eltern bei dir auf der Matte stehen und behaupten, dass Ihre
Sprösslinge Inhalte abgerufen haben, die nich ihrem Alter entsprechen. Und dann: GUTE NACHT
Ich kann dir nur raten: PASS AUF oder lass dir einen "Persilschein" von deinem Chef geben, der bestätigt, das die
Mittel zum ordentlichen Schutz der Schüler fehlt und du darauf hingewiesen hast.
Sorry, aber ein Bein Gefägnis usw., wenn ich sowas schon lese.
Wieso sollte er mit einem bein im Gefägnis stehen und bitte dann doch mit §.
Einen Schutz vor dem Zugriff auf nicht altersgerechte Inhalte muss eine Schule immer bieten.
Je nach Gebiet ist dabei auch die BPjM-Sperrliste verpflichtend.
Es sagt aber niemand, dass die Schule die Wirksamkeit garantieren muss (jeden Proxy kann ich in 2 Minuten tunneln), sondern sie muss lediglich zeigen, dass sie die für sie möglichen Maßnahmen ergriffen hat.
Je nach Gebiet ist dabei auch die BPjM-Sperrliste verpflichtend.
Es sagt aber niemand, dass die Schule die Wirksamkeit garantieren muss (jeden Proxy kann ich in 2 Minuten tunneln), sondern sie muss lediglich zeigen, dass sie die für sie möglichen Maßnahmen ergriffen hat.
802.1x in kabelgebundenen Netzen ist ja nun auch nicht wirklich sicher. Mit einem Hub und dem Wissen was MAC-IDs sind ist das auch ausgehebelt...
hallo,
so liest sich das aber nicht unbedingt
http://www.lehrer-online.de/faq-aufsichtspflicht-ausserhalb-ausfuehrlic ...
http://www.schule.bayern.de/beratung/iuk/filter/recht.php
so liest sich das aber nicht unbedingt
http://www.lehrer-online.de/faq-aufsichtspflicht-ausserhalb-ausfuehrlic ...
http://www.schule.bayern.de/beratung/iuk/filter/recht.php
Hi Chewy,
du selbst gibst dir mit deinem Link eine Antwort darauf:
"•Ein Strafbarkeit kommt aber dann in Betracht, wenn Jugendlichen absolut verbotene oder jugendgefährdende Inhalte fahrlässig oder durch vorsätzliches Unterlassen zugänglich gemacht werden."
Wenn man also nicht eine angemessene Filterung durchführt (vorsätzlich, aufgrund Mangels von Budget), so handelt man fahrlässig, wenn nicht sogar grob fahrlässig. Ausserdem kann es in diesem Moment zu einer Verletzung der Aufsichtspflicht kommen. Ein Lehrer steht nicht permanent HINTER den Schülern und kann 10 Monitore gleichzeitig betrachten. Hier langt schon ein "googeln" um auf z.B. eine Werbeseite mit Porno AUS VERSEHEN zu gelangen und Papi / Mami sind sicher nicht davon angetan, wenn ihr pubertierender Sprössling nackte Tatsachen sieht.
Gefägnis oder nicht entscheidet dann das Gericht. Aber man hat auf jeden Fall eine Menge an Ärger und evtl. einen Prozess zu erwarten, wenn man nicht eine adequate Filterung nachweisen kann!
Und nochmals: Eine Unterlassung aufgrund nicht vorhandenem Budget ist in meinen Augen UNVERANTWORTLICH und damit ist die von "derlehrer" angedachte Lösung für mich persönlich eigentlich fahrlässig.
Grüsse
Questor
du selbst gibst dir mit deinem Link eine Antwort darauf:
"•Ein Strafbarkeit kommt aber dann in Betracht, wenn Jugendlichen absolut verbotene oder jugendgefährdende Inhalte fahrlässig oder durch vorsätzliches Unterlassen zugänglich gemacht werden."
Wenn man also nicht eine angemessene Filterung durchführt (vorsätzlich, aufgrund Mangels von Budget), so handelt man fahrlässig, wenn nicht sogar grob fahrlässig. Ausserdem kann es in diesem Moment zu einer Verletzung der Aufsichtspflicht kommen. Ein Lehrer steht nicht permanent HINTER den Schülern und kann 10 Monitore gleichzeitig betrachten. Hier langt schon ein "googeln" um auf z.B. eine Werbeseite mit Porno AUS VERSEHEN zu gelangen und Papi / Mami sind sicher nicht davon angetan, wenn ihr pubertierender Sprössling nackte Tatsachen sieht.
Gefägnis oder nicht entscheidet dann das Gericht. Aber man hat auf jeden Fall eine Menge an Ärger und evtl. einen Prozess zu erwarten, wenn man nicht eine adequate Filterung nachweisen kann!
Und nochmals: Eine Unterlassung aufgrund nicht vorhandenem Budget ist in meinen Augen UNVERANTWORTLICH und damit ist die von "derlehrer" angedachte Lösung für mich persönlich eigentlich fahrlässig.
Grüsse
Questor
Sorry, aber keinen Filter einzubauen ist doch kein Vorsatz, auch nicht permanent hinter allen Rechnern zu stehen ist noch nicht grob fahrlässig.
Vorsatz ist dem Schüler ne Mail mit Pron zu schicken oder sie auf eine Seite aufmerksam zu machen.
Ich finde es ja ok auf Risiken hinzuweisen aber FUD und Panikmache braucht´s auch nicht.
Sonst wren die Knäste voll von Inet Cafe Betreibern und SozPäds aus Jugendzentren.
Vorsatz ist dem Schüler ne Mail mit Pron zu schicken oder sie auf eine Seite aufmerksam zu machen.
Ich finde es ja ok auf Risiken hinzuweisen aber FUD und Panikmache braucht´s auch nicht.
Sonst wren die Knäste voll von Inet Cafe Betreibern und SozPäds aus Jugendzentren.
Ich hab nun die Lösung!
Ich schütze das Netzwerk gar nicht. Der Sachaufwandsträger hat es ja so gewollt. Daher handle nicht ich, sondern er fahrlässig.
Nur wenn die Eltern aktiv werden, könnte sich wohl etwas ändern....
@mrtux: Leider ist der Sachaufwandsträger gar nicht (lern)fähig. Daher bleibt mir wohl nichts übrig als das Netzwerk mit der Kindersicherung zu sichern.
Sollte eine Schutzvorrichtung wissentlich übergangen werden, so stellt wohl das eine strafrechtlich relevante Handlung dar. Vgl. Rechtsprechung zum Thema Kopierschutz
Ich schütze das Netzwerk gar nicht. Der Sachaufwandsträger hat es ja so gewollt. Daher handle nicht ich, sondern er fahrlässig.
Nur wenn die Eltern aktiv werden, könnte sich wohl etwas ändern....
@mrtux: Leider ist der Sachaufwandsträger gar nicht (lern)fähig. Daher bleibt mir wohl nichts übrig als das Netzwerk mit der Kindersicherung zu sichern.
Sollte eine Schutzvorrichtung wissentlich übergangen werden, so stellt wohl das eine strafrechtlich relevante Handlung dar. Vgl. Rechtsprechung zum Thema Kopierschutz
Hi !
Naja Knast nicht aber wie ist es mit den Kostennoten in Abmahnschreiben: "Sie, wir haben da so ein Schreiben von einer Kanzlei bekommen, da stehen so seltsame Sachen drin, irgendwas mit Musik in Verbindung mit einem Tier...Aber unsere Kinder behaupten, sie wüssten nichts von einem Lied über ein Pferd- oder war es ein Muli?"
@to
Also wie schon gesagt, ich kann da nur raten, das freiwillige Reinknien (in den Zweitjob als Schulnetzwerk-Admin) besser wieder aufzugeben, denn ohne weitere Investitionen (in Know-How und-/oder bessere Netzwerkhardware) wird dein Unterfangen zum Scheitern verurteilt sein...und letztendlich wird man es dann auch noch dir ankreiden....
Besser so weiterlaufen lassen bis es richtig rappelt im Karton ähm Netzwerk, dann klappt es in Zukunft vielleicht auch besser mit der Lernfähigkeit des Entscheidungsträgers...mehr kann man (ich) dazu eigentlich nicht sagen....
mrtux
Zitat von @45877:
Sonst wren die Knäste voll von Inet Cafe Betreibern und SozPäds aus Jugendzentren.
Sonst wren die Knäste voll von Inet Cafe Betreibern und SozPäds aus Jugendzentren.
Naja Knast nicht aber wie ist es mit den Kostennoten in Abmahnschreiben: "Sie, wir haben da so ein Schreiben von einer Kanzlei bekommen, da stehen so seltsame Sachen drin, irgendwas mit Musik in Verbindung mit einem Tier...Aber unsere Kinder behaupten, sie wüssten nichts von einem Lied über ein Pferd- oder war es ein Muli?"
@to
Also wie schon gesagt, ich kann da nur raten, das freiwillige Reinknien (in den Zweitjob als Schulnetzwerk-Admin) besser wieder aufzugeben, denn ohne weitere Investitionen (in Know-How und-/oder bessere Netzwerkhardware) wird dein Unterfangen zum Scheitern verurteilt sein...und letztendlich wird man es dann auch noch dir ankreiden....
Besser so weiterlaufen lassen bis es richtig rappelt im Karton ähm Netzwerk, dann klappt es in Zukunft vielleicht auch besser mit der Lernfähigkeit des Entscheidungsträgers...mehr kann man (ich) dazu eigentlich nicht sagen....
mrtux
Nein, nur wenn du eine Authentifizierung auf Basis von Mac Adressen machst !! .1x ist aber Username/Passwort bezogen und das ist nicht so ohne weiteres auszuhebeln es sei denn man gibt diese Daten weiter.
Aber auch das liesse sich sehr einfach mit Zertifikaten auf den Schul Laptops lösen. Damit wäre dann die Authentifizierung auch noch HW bezogen und private Rechner hätten damit keinerlei Chance ins Netz zu kommen.
Auch wenn das sogar in einer MS Umgebung mit ein paar Mausklicks zu lösen wäre scheitert es wohl am Wissen, an der Switchhardware oder am "Sachaufwandsträger".
Solcherlei Anfragen enden hier im Forum immer so wie unten.... In der Euphorie startet man als Tiger und landet dann als Bettvorleger... weil einfach im Vorfeld schon alles ungeplant ist und damit in die falsche Richtung geht und keiner an historisch falschem mehr was ändern kann oder will.
Da droht man dann wie immer mit der "Rechtsverstoß" Keule wenn man nicht mehr weiterweiss...wie immer !?
Aber auch das liesse sich sehr einfach mit Zertifikaten auf den Schul Laptops lösen. Damit wäre dann die Authentifizierung auch noch HW bezogen und private Rechner hätten damit keinerlei Chance ins Netz zu kommen.
Auch wenn das sogar in einer MS Umgebung mit ein paar Mausklicks zu lösen wäre scheitert es wohl am Wissen, an der Switchhardware oder am "Sachaufwandsträger".
Solcherlei Anfragen enden hier im Forum immer so wie unten.... In der Euphorie startet man als Tiger und landet dann als Bettvorleger... weil einfach im Vorfeld schon alles ungeplant ist und damit in die falsche Richtung geht und keiner an historisch falschem mehr was ändern kann oder will.
Da droht man dann wie immer mit der "Rechtsverstoß" Keule wenn man nicht mehr weiterweiss...wie immer !?
Ich wurde zwecks Planung nicht einmal gehört!
Mir wird das einfach hingestellt und der Rest ist mein Bier. Fragen im Vorfeld bzgl. Planung werden mit "Das werden sie schon sehen..." abgetan.
Mir wird das einfach hingestellt und der Rest ist mein Bier. Fragen im Vorfeld bzgl. Planung werden mit "Das werden sie schon sehen..." abgetan.
BIst du dir da wirklich sicher?
Soweit ich weiß zieht sich 802.1x zurück sobald der Port authentifiziert wurde und der restliche Traffic wird nicht mehr authentifiziert.
Es reicht also einen echten Rechner die Anmeldung durchführen zu lassen und dann kann man auch mit dem eigenen Laptop surfen.
Soweit ich weiß zieht sich 802.1x zurück sobald der Port authentifiziert wurde und der restliche Traffic wird nicht mehr authentifiziert.
Es reicht also einen echten Rechner die Anmeldung durchführen zu lassen und dann kann man auch mit dem eigenen Laptop surfen.
Das kommt auf den Switch an. Bessere Switches übernehmen nur diese eine Mac in die Forwarding Database aber keine anderen Macs mehr am Port. Das Feature heisst dann Multiple Mac Authentication.
Wie gesagt das ist die Mac Seite.
Bei "richtigem" .1x per User Passwort oder Zertifikat wird jeder Benutzer einzeln authentifiziert. Auch wenn man einen dummen 5 Port NetGear Switch vor dem Port hat. So schreibt es wenigstens der Standard vor. Hindert sicher nicht Billigheimer wie D-Link, Longshine & Co. wieder was Halbgares zu implementieren weils billig sein muss....
So oder so.... wenn man es wirklich will, dann bekommt man schon die Schüler mit privaten und Schul Rechner wasserdicht selektiert !!
Wie gesagt das ist die Mac Seite.
Bei "richtigem" .1x per User Passwort oder Zertifikat wird jeder Benutzer einzeln authentifiziert. Auch wenn man einen dummen 5 Port NetGear Switch vor dem Port hat. So schreibt es wenigstens der Standard vor. Hindert sicher nicht Billigheimer wie D-Link, Longshine & Co. wieder was Halbgares zu implementieren weils billig sein muss....
So oder so.... wenn man es wirklich will, dann bekommt man schon die Schüler mit privaten und Schul Rechner wasserdicht selektiert !!
Hi,
wieso versuchst du es nicht mit einem Kostenlosen Proxyserver! Dann kann nur der jenige Surfen der auch eine Zugriffberechtigung hat.
Hierzu Empfehle ich Jana Server 2:
www.janaserver.de
wieso versuchst du es nicht mit einem Kostenlosen Proxyserver! Dann kann nur der jenige Surfen der auch eine Zugriffberechtigung hat.
Hierzu Empfehle ich Jana Server 2:
www.janaserver.de
Hallo,
mir kommt das Problem / Die Situation ziemlich bekannt vor. Ich hab ein wenig Erfahrung mit Schulnetzen... Geld ist für so etwas grundsätzlich nie genug da. Und die Entscheidungsträger sind auf diesem Gebiet oft einfach nicht kompetent genug.
Sehr gute Erfahrungen hab ich mit dem smeserver gemacht ( http://www.contribs.org ) auf diesem ist auch der "Time for kids - Schulfilter Plus" ( http://www.schulfilterplus.de ) lauffähig. Für die Clients kann ich nur zu "PC-Wächter-Karten" ( http://www.dr-kaiser.eu ) raten. Evtl. auch http://www.pearl.de/a-PX1035-1356.shtml hab ich aber noch nicht getestet.
Und schau dir mal iTALC an ( http://italc.sourceforge.net ). Kann sehr hilfreich sein und ist im Gegensatz zu "Mastereye" bzw. jetzt "Netop Vision" OpenSource.
Wenn du Hilfe brauchst, meld dich einfach mal bei mir.
Gruß
Peter
mir kommt das Problem / Die Situation ziemlich bekannt vor. Ich hab ein wenig Erfahrung mit Schulnetzen... Geld ist für so etwas grundsätzlich nie genug da. Und die Entscheidungsträger sind auf diesem Gebiet oft einfach nicht kompetent genug.
Sehr gute Erfahrungen hab ich mit dem smeserver gemacht ( http://www.contribs.org ) auf diesem ist auch der "Time for kids - Schulfilter Plus" ( http://www.schulfilterplus.de ) lauffähig. Für die Clients kann ich nur zu "PC-Wächter-Karten" ( http://www.dr-kaiser.eu ) raten. Evtl. auch http://www.pearl.de/a-PX1035-1356.shtml hab ich aber noch nicht getestet.
Und schau dir mal iTALC an ( http://italc.sourceforge.net ). Kann sehr hilfreich sein und ist im Gegensatz zu "Mastereye" bzw. jetzt "Netop Vision" OpenSource.
Wenn du Hilfe brauchst, meld dich einfach mal bei mir.
Gruß
Peter
Danke Peter, das iTalc schaut vielversprechend aus, wenn ich die Computerräume einrichten muss. Wird in etwa 1 - 2 Jahren sein. Momentan Vernetze ich die Klassenraumcomputer (Pro Raum nur einer). Hier kann sich nur jeweils der Lehrer der Stunde mit seinem Passwort einloggen und dann an einen einzelnen Schüler weitergeben. Die Laptops dienen hier also nur zu Demonstrationszwecken. Was ich verhindern muss ist, dass ein Schüler in den Zwischenstunden seinen Laptop anstöpselt und dann mit ein bischen Wissen über IP Adressen surfen kann. Ich werde das Problem wohl mit der Kindersicherung der Fritzbox lösen. Sicherlich kann dieser Schutzmechanismus ausgehebelt werden. Aber dazu muss erstmal der Ip Adressen Bereich bekannt sein und der Schüler muss wissen, dass ich ihn am Surfen mit Hilfe der Kindersicherung hindere. Wir sind eine Landschule. Wir haben (noch) keine kriminellen Schüler. Also werden die Schutzmechnismen reichen. Sollte der Zugang doch mal geknackt werden, so bin ich und die Schule wohl aus dem Schneider, weil nach gängiger Rechtsprechung das Aushebeln von Schutzmechnanismen strafbar ist.
Hallo,
die Lösung mit der Fritzbox-Kindersicherung ist auf jeden Fall die einfachste und schnellste Lösung. Wenn du aber Nägel mit Köpfen machen willst, empfehl ich dir einen Squid-Proxy (gibts auch für Windows) mit integrierter Benutzer-Authentifizierung am AD. Ich würde alle schuleigenen Rechner in die Domäne aufnehmen und entsprechende Accounts für die Schüler und Lehrer anlegen. Anhand der Domänenanmeldung kann man dann entscheiden wer was darf.
Landschulen sind nach eigener Erfahrung in der Beziehung übrigens auch nicht besser als Stadtschulen - ich wohn auch am Land.
Gruß
Peter
die Lösung mit der Fritzbox-Kindersicherung ist auf jeden Fall die einfachste und schnellste Lösung. Wenn du aber Nägel mit Köpfen machen willst, empfehl ich dir einen Squid-Proxy (gibts auch für Windows) mit integrierter Benutzer-Authentifizierung am AD. Ich würde alle schuleigenen Rechner in die Domäne aufnehmen und entsprechende Accounts für die Schüler und Lehrer anlegen. Anhand der Domänenanmeldung kann man dann entscheiden wer was darf.
Landschulen sind nach eigener Erfahrung in der Beziehung übrigens auch nicht besser als Stadtschulen - ich wohn auch am Land.
Gruß
Peter
