pingilein
Goto Top

Verhindern von fremder (PC, Laptop etc.) Hardware im Netzwerk (Firm-, Schulnetzwerk)

Wie verhindere ich das Mitarbeiter (Schüler) eigene Hardware mitbringen und diese ins Netz hängen?

Hallo!
Ich unterliege dem Problem das ich an einer Weiterbildungseinrichtung und ein Netzwerk zu betreiben habe, welches an einer Internetverbindung hängt.
Jedoch bringen die Teilnehmer ihre eigenen PC'S (Laptops) mit, was dummerweise dazu führt das sie andere Dinge machen, wie sie eigentlich sollen. (Spiele installieren und zocken, saugen bis der Arzt kommt, etc.)
Ich habe einen DHCP Server auf einem Windows2000 Server zu laufen.
Gibt es ein Tool mit dem man die Möglichkeit hat fremde Geräte aus dem Netzwerk zu schmeissen.
Der DHCP Server kann ja leider nur Adressen reservieren, jedoch vergibt er ja weiterhin IP Adressen an Fremde Geräte.
MAC Filtering wäre sicherlich ne Lösung, jedoch kann ich mich nicht hinstellen und die MACadressen sperren... was sicherlich funtionieren würde!
Ein Tool mit dem man MACadressen ausliest ohne an das entsprechende Gerät zu müssen habe ich, jedoch keines was die MAC sperren kann.... oder hab ich was übersehen???????

Es wird zu einem wirklich unangenehmen Problem.
Schließlich sind unsere Rechner absichtlich etwas langsamer *kicher*
Für Ideen bin ich dankbar!

Danke

Content-ID: 45110

Url: https://administrator.de/forum/verhindern-von-fremder-pc-laptop-etc-hardware-im-netzwerk-firm-schulnetzwerk-45110.html

Ausgedruckt am: 23.12.2024 um 17:12 Uhr

27119
27119 22.11.2006 um 16:22:39 Uhr
Goto Top
Also - klar gibz Lösungen, die sind aber recht komplex zum Beispiel 802.1X.
Dazu müssen die Switches oder der WLAN Ap 802.1X unterstützen, und du musst einen Radiusserver betreiben (IAS ist bei Windows Server mit dabei und relativ einfach zu konfigurieren). Dann muss sich jeder Netzteilnehmer erstmal authentifizieren, oder aber das Maschinenkonto des Windows Rechners muss im Active Directory angelegt sein, sonst geht erstmal GARNIX mit Netzwerkteilnahme. Das klingt hier recht kompliziert, ist aber sooo schwierig nicht, vor allem wenn die Komponenten die ihr einsetzt das Protokoll schon unterstützen muss man es ja nur noch einrichten.

Das Saugen kannst du dadurch unterbinden, dass du an der Firewall, die den Zugang zum Internet regelt, beispielsweise für eine bestimmte IP-Range nur Port 80 und 443 erlaubst.
Oder gar das surfen nur zu bestimmten Zeiten erlauben.

Für eine andere IP Range im DHCP (Lehrer-Rechner) kannst du die Regeln grosszügiger gestalten, falls das so gebraucht wird.
Im DHCP kannst du festlegen, dass bestimmte MAC Adressen immer die selbe Adresse bekommen sollen (zb Lehrerrechner).

Wirklich sicher ist das freilich nicht - irgendwann kapieren die Schüler, welcher IP Range mehr Berechtigungen hat und geben sich einfach manuell eine aus diesem Range - was u. U. zu IP Adressenkonflikten führen kann.

Über MAC Adressen kann man die Sicherheit leider nicht gewährleisten (höchstens den Zugang für unberechtigte erschweren).
Stefan764
Stefan764 22.11.2006 um 17:19:26 Uhr
Goto Top
Hallo,

Es gibt managementfähige Switches, die sich so einstellen lassen, daß nur registrierte MAC-Adressen eine Verbindung erhalten. Wenn euer Switch diese Möglichkeit bietet, kann man das ja nutzen.

Wie duno schon sagte, ist diese Möglichkeit nicht allzu sicher, aber immerhin besser als nix.

mfG
Stefan
Pingilein
Pingilein 22.11.2006 um 17:24:12 Uhr
Goto Top
Hi Duno
Danke für Deine Schnelle Antwort.

EIN WLAN.... SORRY kommt nicht in die Tüte, damit fällt das schon mal flach. Egal wie hoch ich die Verschlüssellung setze die Leute haben genug Zeit um das zu knacken.

Das besagte Protokoll... 802.1x... geht das auch ohne Wlan????? (Problem hier ist natürlich, was passiert mit den Rechnern die das Protokoll nicht instaliert haben, was ja in den meisten fällen der Fall sein wird... die machen doch dann trotzdem was sie wollen?)

Für einen Radiusserver fehlen die Resourcen... hier frag ich mich auch wie ich damit fremde Hardware identifizieren kann und draussen halten kann????

EIN IAS... okay, aber wie soll das nun wieder funzen?

AD ist übrigens angelegt, aber trotzdem kann ja jeder Rechner auch ohne im AD zu stehen, eine IP bekommen, und somit im Netztwerk eine eigene kleine Arbeitsgruppe aufmachen...

Das surfen (saugen) wäre nicht das Problem, wenn die gar nicht erst ins Netz kommen.

-Im Grunde müsste man doch eine Blacklist mit allen verwendeten Macadressen zusammen bekommen, und alle anderen Macadressen bleiben ausgesperrt.????? Muss doch irgendwie gehen.-

Ich kann doch bei einer Firewall auch nach MACadressen filtern. Warum kann man nicht dem DHCP sagen er soll "Blackgelistete" MAC adressen keine IP Nummer zuweisen, das wäre doch das einfachste. Die wenigsten Leute wissen wie man eine MAC Adresse manipuliert!
Bei unbekannten oder neuen Macadressen eine Nachricht an den EDV mann und schon geht es doch.. Ohne MACadresse geht nunmal nix im Netz.

Hast DU irgendwie irgendwo ne Kurzanleitung wie du das mit dem IAS meinst???? Vielleicht ist ja da mehr drann als ich glaub?

THX
Pingilein
Pingilein 22.11.2006 um 17:28:43 Uhr
Goto Top
Hallo Stefan,
Der Lösungsansatz klingt eigentlich gut.... manegementfähige Switche.... nur leider existiert so ein teil nciht und damit.... *Hust* ....
Alles was Geld kostet.... ist sozusagen nicht erwünscht.
Hab auch schon übelegt üb es vielleicht mit einer speziellen Firewall funktionieren könnte, doch dummerweise verbietet die höchstens den Verkehr nach draussen... *grübel*
Auch ein Danke für diesen Ansatz.
THX
Stefan764
Stefan764 22.11.2006 um 18:04:42 Uhr
Goto Top
Hallo,

EIN WLAN.... SORRY kommt nicht in die
Tüte, damit fällt das schon mal
flach. Egal wie hoch ich die
Verschlüssellung setze die Leute haben
genug Zeit um das zu knacken.

Ich glaube, daß deine Schüler eher an Altersschwäche sterben, als einen guten Wlan-Schlüssel zu knacken.

Das besagte Protokoll... 802.1x... geht das
auch ohne Wlan????? (Problem hier ist
natürlich, was passiert mit den Rechnern
die das Protokoll nicht instaliert haben, was
ja in den meisten fällen der Fall sein
wird... die machen doch dann trotzdem was sie
wollen?)

Die, die das Protokoll nicht installiert haben, werden ratzfatz aus dem Netz geschmissen.


Für einen Radiusserver fehlen die
Resourcen... hier frag ich mich auch wie ich
damit fremde Hardware identifizieren kann und
draussen halten kann????

EIN IAS... okay, aber wie soll das nun
wieder funzen?

AD ist übrigens angelegt, aber trotzdem
kann ja jeder Rechner auch ohne im AD zu
stehen, eine IP bekommen, und somit im
Netztwerk eine eigene kleine Arbeitsgruppe
aufmachen...

Das surfen (saugen) wäre nicht das
Problem, wenn die gar nicht erst ins Netz
kommen.

-Im Grunde müsste man doch eine
Blacklist mit allen verwendeten Macadressen
zusammen bekommen, und alle anderen
Macadressen bleiben ausgesperrt.????? Muss
doch irgendwie gehen.-

<klug###>
Das wär dann eine "Whitelist" face-wink
</klug###>


Ich kann doch bei einer Firewall auch nach
MACadressen filtern. Warum kann man nicht dem
DHCP sagen er soll "Blackgelistete"
MAC adressen keine IP Nummer zuweisen, das
wäre doch das einfachste. Die wenigsten
Leute wissen wie man eine MAC Adresse
manipuliert!

Aber viele wissen, wie man eine statische IP-Adresse einstellt.
Damit wäre der DHCP-Server wirksam umgangen.

Bei unbekannten oder neuen Macadressen eine
Nachricht an den EDV mann und schon geht es
doch.. Ohne MACadresse geht nunmal nix im
Netz.

Hast DU irgendwie irgendwo ne Kurzanleitung
wie du das mit dem IAS meinst???? Vielleicht
ist ja da mehr drann als ich glaub?

Das ganze steht und fällt mit den Möglichkeiten euerer Switches.
Diese müssen die Möglichkeit haben, einzelne Anschlüsse Softwaremäßig abzuschalten.
(So wie ich das verstanden habe, ist das der Kern von 802.1X)

mfG
Stefan
Rafiki
Rafiki 22.11.2006 um 18:19:38 Uhr
Goto Top
Auch ich kann hier leider keine einfach, sicher, schnell und kostenlos Lösung anbieten. Aber....

Bei einem managebaren Switch kann man festlegen welche MAC Adressen an welchen Ports zugelassen sind. Damit wird z.B. sichergestellt das nicht die MAC Adresse von dem Server kopiert wird. Gute Hardware kostet leider Geld.
Beispiele von Nortel: (Gibt es aber auch von HP, Intel, Cisco, D-Link)
Nortel Baystack 450 24T, Hat 24 Ports mit je 100MBit, ca. EUR 1500 (manchmal bei Ebay zu haben)
Nortel Ethernet Routing Switch 5510, 24 gigabit Ports, ca. EUR 3000
Nortel Ethernet Routing Switch 5510, 48 gigabit Ports, ca. EUR 4000
Damit verhinderst du das euer Netzwerk von fremden Notebooks benutzt wird.


Eine andere Möglichkeit wäre ein Proxy (Firewall + Cache) der festlegt welche Internetseiten erreichbar sind. Der Benutzer muss sich erst am Proxy anmelden und wird damit einer Gruppe zugeordnet die bestimmte Inhalte, nach Themen sortiert (politisch, Sex, Spiele, unanständig.....) nicht erreichen kann. Das ist besonders geeignet um Jugendschutzbestimmungen z.B. für das Login student durch zusetzten und gleichzeitig auch MSN Messenger usw. zu sperren.
http://www.marshal.com/pages/webmarshal.asp

Die Software WebMarshal 3.5 von NetIQ ist ein leistungsfähiges Werkzeug, um den Zugriff auf Web-Ressourcen effektiv zu schützen und die Nutzung von Web-Inhalten durch die Anwender gezielt zu steuern. Im Gegensatz zu einfachen Proxy-Lösungen, bei denen der Datenstrom allenfalls auf Viren untersucht wird, erlaubt der WebMarshal eine weitaus differenziertere Kontrolle des Datenstroms. So können Downloads potentiell gefährlicher Dateien (z.B. ActiveX Controls, EXE Dateien, Dokumentdateien mit Skript-Code usw.) gezielt blockiert werden. Dieses Blockieren kann dabei als unternehmensweite Policy durchgesetzt oder nur für bestimmte Nutzergruppen angewandt werden. So bleibt es z.B. Mitarbeitern mit Aufgaben in der IT weiterhin möglich ausführbare Dateien herunterzuladen.
(Werbetext geklaut von: http://www.lynet.de/aktuelles/produkte_aktionen/netiq.html)


Auf dieser Webseite http://www.schule.bayern.de/beratung/iuk/filter/anbieter.php wird die Software "Time for Kids" positiv hervorgehoben.
Fazit
Unter Berücksichtigung der in Augenschein genommenen Lösungen erscheint derzeit das Angebot der Firma Time for Kids die für Schulen beste Lösung für eine situationsangepasste Filterung von unerwünschten Internetinhalten zu sein, sowohl was den Umfang der angebotenen Filterlisten, als auch was die Ausgestaltung der Software im Hinblick auf die Handhabbarkeit betrifft.
"Es bleibt jedoch festzuhalten, dass keine der auf dem Markt befindlichen oder zukünftig zu erwartenden technischen Lösungen die Schule und Lehrer vor Ort von ihrer gesetzlich geregelten Aufsichtspflicht entbindet."

http://www.time-for-kids.de


Gruß Rafiki
6890
6890 22.11.2006 um 18:42:34 Uhr
Goto Top
einen wunderschönen guten abend,

also hier jetzt meine lösung:
  • den DHCP so einstellen das MAC <----> IP bezogen ist, dh jeder rechner bekommt nur die ip die seiner MAC zugeordnet ist
  • einen proxy server, zb Squid, installieren und da acls einstellen (zb es dürfen nur die rechner ins netz die nicht auf ner blacklist stehen oder die richtige ip+mac adresse haben oder oder oder,da kann man viel einstellen)

vor allem würde der proxy sogleich euren traffic senken!!
falls jetzt der einwurf kommen sollte das es nix kosten soll:
  • squid läuft auf linux
  • squid is open source und kostenfrei
  • linux hat minimale system anforderungen (ein 1 ghz rechner mit 256mb ram und bissl platte dürfte reichen)

so würde ich das wahrscheinlich lösen.

mfg godlike P
Pingilein
Pingilein 22.11.2006 um 18:57:12 Uhr
Goto Top
ZItat: Ich glaube, daß deine Schüler eher an Altersschwäche sterben, als einen guten Wlan-Schlüssel zu knacken......
Antwort... die haben soviel Zeit.... weil das nämlich niemand merkt...
Wir hatten das schon mal versuchsweise .... war sogar ganz Praktisch für die Studenten die wir auch noch betreuen.... aber da wir nebenan auch noch eine ander Schule haben, tja.... die hatten ihren Spass....

Zitat2: Die, die das Protokoll nicht installiert haben, werden ratzfatz aus dem Netz geschmissen.

BINGO.... Das scheint doch die Lösung zu sein.... ich installiere per Gruppenrichtlinie (vielleicht sogar noch) das Protokoll und schon ist Essig!!!! Das klingt doch Prima... muss ich mich mal mit dem Protokoll befassen.... TIPS??????? Wo ich da was gutes nachlesen kann?

Sorry...Blacklist... whitelist Du hast verstanden was ich meinte!!!!

ZItat3: Aber viele wissen, wie man eine statische IP-Adresse einstellt.
Damit wäre der DHCP-Server wirksam umgangen.

Antwort: Shit daran hab ich überhaupt nicht gedacht... das löst ja nur maximal nen IP Konflict aus... Mist!

Also klingt als wäre 802.1x ne Möglichkeit Oder??

mfg Pingilein
Pingilein
Pingilein 22.11.2006 um 18:57:14 Uhr
Goto Top
ZItat: Ich glaube, daß deine Schüler eher an Altersschwäche sterben, als einen guten Wlan-Schlüssel zu knacken......
Antwort... die haben soviel Zeit.... weil das nämlich niemand merkt...
Wir hatten das schon mal versuchsweise .... war sogar ganz Praktisch für die Studenten die wir auch noch betreuen.... aber da wir nebenan auch noch eine ander Schule haben, tja.... die hatten ihren Spass....

Zitat2: Die, die das Protokoll nicht installiert haben, werden ratzfatz aus dem Netz geschmissen.

BINGO.... Das scheint doch die Lösung zu sein.... ich installiere per Gruppenrichtlinie (vielleicht sogar noch) das Protokoll und schon ist Essig!!!! Das klingt doch Prima... muss ich mich mal mit dem Protokoll befassen.... TIPS??????? Wo ich da was gutes nachlesen kann?

Sorry...Blacklist... whitelist Du hast verstanden was ich meinte!!!!

ZItat3: Aber viele wissen, wie man eine statische IP-Adresse einstellt.
Damit wäre der DHCP-Server wirksam umgangen.

Antwort: Shit daran hab ich überhaupt nicht gedacht... das löst ja nur maximal nen IP Konflict aus... Mist!

Also klingt als wäre 802.1x ne Möglichkeit Oder??

mfg Pingilein
Pingilein
Pingilein 22.11.2006 um 19:00:54 Uhr
Goto Top
Die Hardwarelösungen kann ich vergessen.... wenn ich das schon lese 1500 aufwärts.... das wird ja nen Horror das nur anzusprechen.... Die Antwort wird lauten.... na wenn sie auf zwei Gehälter verzichten dann könne wir das sicherlich machen... *lol*
Sorry das wird nix!
Danke Trotzdem

Was das Marshal dings betrifft....
Es läuft bereits ein Proxy... dummerweser einer an den ich nicht rankomme, schlimmer noch da läuft auch DNS drauf... komm ich auch nicht rann....
Das wird dann wohl das nächste dicke Problem werden.. ich muss mich da nämlich durchbeissen.

Im Moment will ich das ganze ja grad mal in einrr Testumgebung durchtesten....

THX
Pingilein
Pingilein 22.11.2006 um 19:06:14 Uhr
Goto Top
Hallo Goodlike!
das klingt ehrlich gesagt alles gar nicht so schlecht

doch ich muss mal ein Zitat einwerfen.
Siehe oben irgendwo....

Bei manueller eingabe der IP Adresse, (an einem Privat PC verfügen die natürlich über die Rechte) wird jeder DHCP umgangen.... FOLGE: die können trotzdem immer noch ne Kleine Arbeitsgruppe aufmachen in de sie dann man eben ne Counterstrike server auziehen und loszocken und alles nur weil ich mal ne Woche in Urlaub geh..... *toll*

Ich betreue im Endeffekt drei Truppen gleichzeitig... Alter ... unter 25.... ich kann nicht überall sein. Ich habe aber auch nicht die Möglichkeit die rauszuschmeissen.

Mir bleibt also nur noch die Frage... WIe funktioniert das mit dem 802.1x Protokoll???????

Danke für die vielen schnellen Antworten!
aqui
aqui 22.11.2006 um 19:08:08 Uhr
Goto Top
Das Konfigurieren des DHCP Servers bringt aber nichts um den Zugang zu verhindern. Jeder kann sich eine statische Adresse mit seinem mitgebrachten Gerät setzen und schon ist er im Netz....
Der Proxy ist auch nur bedingt sicher, denn wenn jemand die IP Adresse des Routers kennt komm ich auch direkt ins Internet.
Das erfordert dann einen Filter auf dem Router der nur Traffic vom Proxy ins Internet lässt.
Kann man so einen Filter konfigurieren ist es aber ein gangbarer Weg.
Ohne Möglichkeit Filter auf dem Router zu konfigurieren, weiles auch wieder ein Billigprodukt sein musste ist ein Proxy ohne Sinn und Wirkung, denn den umgehe ich einfach über den Direktweg über den Router !
Besser ist dann sowas wie die ct' mal gemacht hat mit dem Schulserver der Proxy und Router in einem ist. Das wird dann schon eher eine Herausforderung für Schüler das zu umgehen...scheitert dann aber wohl an der Hardwareinvestition...aber ggf. liegt irgendwo noch ein alter Rechner rum der das dann kann....

Das Problem das aber fremde Hardware im Netz ist die sonstwas macht und im Netz verbreitet löst du damit keinesfalls !

"duno" hat Recht, da es dafür nur eine sinnvolle Lösung gibt und das ist 802.1x Portsecurity. Alles MAC basierte hilft nichts, denn das kann ich problemlos faken. Dürfte für Schüler in Sekunden machbar sein...
802.1x supporten auch schon fast alle "Billigheimer" unter den Switches nur eben nicht die Allerbilligsten.
Du brauchst dafür einen Radius Server, der den Benutzerzugang regelt. Das kann der IAS von MS sein, der bei jedem MS Server dabei ist und nebenher als Task auf einem vorhandenen MS Server rennt. Da du das "Geld" angesprochen hast kannst du aber auch problemlos den kostenlosen Freeradius Server (www.freeradius.org) unter Linux verwenden. Der ist sowieso immer bei jeder Linux Distro mit dabei...das wäre die 0 Cost Lösung.

Der Switch blockt dann per default alle Schülerports oder generell alle Ports und fragt sie nach einem Benutzernamen, die er an den Radius Server schickt zu Authentifizierung. Kennt der den Benutzer wird der Port freigegeben.
Viele Switches suporten mit der Freigabe auch eine Access Liste die mit der Radius Authentifizierung auf den Port gelegt wird und z.B. damit nur eingeschränkte Kommunikation je nach Benutzer erlaubt (z.B. nur HTTP Web Traffic mit dem Proxy für Schüler oder alles für die Lehrer)
Meist kann man wählen ob bei Nichtauthorisierung dann der Port geblockt bleibt oder dieser Benutzer in ein sog. Quarantäne VLAN kommt aus dem er sehr eingeschränkte Zugriffsrechte hat.
All das ist problemlos machbar und die Konfiguration so eines Radius Servers ist sehr einfach.
Allerdings steckst du in einem Dilemma:
All das bekommt man nicht mit NoName Taiwan Switches vom Grabbeltisch im Geiz ist geil Markt ! Aber schon etwas...nur "etwas" bessere Switches bieten solche Möglichkeit.
Komisch ist das an "Bildungseinrichtungen" meist Riesensummen kommentarlos für MS Produkte und Lizenzen ausgegeben werden aber für die wirklich wichtigen sicherheitsrelevanten Sachen muss es dann billigster Taiwan Kram sein.
Hohe Sicherheitsanforderungen oder höherwertige Features und diese Billigstkomponenten passen einfach nicht zusammen so das du wahrscheinlich mit deinen etwas anarchistischem Netz weiterleben musst.
Schüler sind meist schlauer als primitive Hardware (was auch nicht falsch ist, denn das ist das wirklich Interessante..) und da muss man meist etwas größere "Geschütze" auffahren wenn man wirkliche Sicherheit haben will und nicht irgendwelchen Bastelkram mit kostenlosen Bordmitteln den ich als Schüler in 5 Sekunden knacken kann face-wink
Pingilein
Pingilein 22.11.2006 um 19:18:40 Uhr
Goto Top
Hallo AQUI!!!

AHA!!! "ES" face-wink hat mich verstanden.... wunderbar. Danke

Radiusserver.... werd ich mich dann wohl mal ranschmeissen....
werd ich nochmals meine Unterlagen durchforsten.

Ich muss also nur noch rauskriegen welche Switche das 802.1x Protokoll unterstützen... und dann müsste es laufen. in den Lehrerzimmern die Billigswitche rein... weil da wird sich kein schüler hinsetzen.. damit hab ich das umgangen.... einige gute Switche haben wir ja .. so ist das ja nun auch nicht.... meist DLINK...

Wenn ich zum Anfang erst mal meine drei Gruppen so lahm lege, werden die anderen Räume eh blass vor Neid und dann wird sich der Rest schon regeln.... *kicher*

Also werd ich mir doch mal den Radiusserver unter WIndows 2000 Server anschauen.....
Danke

Trotzdem natürlich ein Danke an alle die sich den Kopf zerbrochen haben!
Stefan764
Stefan764 22.11.2006 um 19:23:44 Uhr
Goto Top
Hallo,

Man könnte mal probieren, ob man mit VPN weiterkommt.
[ getunneltes LAN ]
Rechner -------------------------------------------- Internet-Gateway mit Proxy...
[.................................]

Die Schüler können sich bei dir im Lan austoben, aber wer ins Internet will, MUSS durch den Tunnel. Und das geht nur mit installierter VPN-Software.

mfG
Stefan
Pingilein
Pingilein 22.11.2006 um 19:30:38 Uhr
Goto Top
Der Ansatz ist auch nicht verkehrt, jedoch löst es das eigentliche Problem leider nicht vollständig...
die Leute können dann zwar nicht ins Internet, aber Ihre Rechner sind trotzdem im Netz und machen Blödsinn....

Die Größte Gefahr ist nicht mehr unbedingt die von Aussen, sondern die von drinnen.
Sie heißt "Vertrauen"! Jeder USB Stick ist eine Gefahr.
Deswegen.... am besten so versuchen das die gar nicht erst reinkommen!

Wobei es mir hier nicht um die Gefahr geht, sondern um die Aufmerksamkeit im Unterricht.

Ich werd mir mal den Tip von AQUI näher anschauen.....

Danke auch Dir Stefan!
27119
27119 22.11.2006 um 19:51:49 Uhr
Goto Top
AAALSO Jetzt mal Klartext

  • 802.1X stellt SICHER, dass keine fremden PCs mehr Verbindung mit dem LAN aufnehmen können.
  • da du Active Directory betreibst, bietet sich der IAS an, das ist quasi ein Radiusserver, der mit paar Mausklicks auf dem Domaincontroller installiert werden kann und auf der Server CD vom Windows Server schon dabei ist.
  • für 802.1X brauchst du auf den PCs keine spezielle Software, das wird von XP schon automatisch unterstützt. Du musst unter den Netzwerkadaptereigenschaften nur einstellen, welche Art von Authentifizierung genommen werden soll, in der Regel PEAP. Dann noch paar Klicks beim IAS und das wars. Man kann wie gesagt das Maschinenkonto der in der domäne registrierten Windowsclients benutzen, oder aber Benutzername u. Domänenpasswort.
  • damit das geht, müsstet ihr in neue 802.1X fähige Switches investieren
  • WPA Verschlüsselung im WLAN Bereich (unabhängig von 802.1X) ist definitiv nicht knackbar solange der Schlüssel lang genug ist. Punkt.
  • wenn man 802.1X im WLAN Bereich einsetzt und mit WEP betreibt, ist das auch kein Beinbruch, da mit authentifizierten und berechtigten WLAn Clients ein Session-Key ausgehandelt wird, also nicht immer der selbe WEP Key benutzt wird, so dass das Knacken des WEP Keys (was durchaus möglich ist) dem Angreifer wenig bringt
  • 802.1X wurde ursprünglich für WLAN "erfunden", kann aber genausogut im LAN eingesetzt werden und bietet derzeit wohl die zuverlässigste Sicherungsmethode an die zu haben ist.
  • alle Sicherungsmassnahmen, die irgendwie mit DHCP und MAC Adressen zu tun haben sind pillepalle einfach auszuhebeln, dazu braucht man keinen Spezialisten

Das ist meines Erachtens der einzig gangbare Weg beim derzeitigen Stand der Technik um fremde Rechner davon abzuhalten, am kabelgebundenen LAN teilzunehmen. Alles andere ist relativ leicht kompromitierbar.

  • Billige Alternativlösung: WLAN wäre in euerm Fall sicherer!!!!
Ihr könntet auch eigene PCs an die Switches bzw. LAN Dosen anschliessen u. fest mit den LAN dosen verbinden, damit da überhaupt keine Anschlussmöglichkeit mehr besteht. Die bereitgestellten PCs könnt ihr mit sehr eingeschränkten Rechten betreiben, und freilich auch das Booten von CD verhindern durch BIOS Passwort. Wiso stellt ihr überhaupt benutzbare LAN Dosen bereit, wenn sich doch keiner damit verbinden darf? Da halte ich WLAN ja fast für sicherer ehrlichgesagt, wenn man es mit Verschlüsselung usw macht. Den Schlüssel könnten ja die Lehrer geheimhalten, oder am besten garnicht kennen da nur DU ihre Notebooks damit konfigurierst. Dann kann sich garantiert auch kein anderer Rechner da reinhängen wenn er den WPA Key nicht kennt. In dem Fall braucht ihr auch weder 802.1X noch sonstwas, sondern nur ein paar billige WLAN Access Points, und schmeisst die Switches in den Wald.

Euer Problem ist nicht nur illegaler Download von Filmen u. Musik aus dem Internet, sondern auch die Infizierung von Rechnern im LAn durch mitgebrachte private PCs. Ihr könntet dies auch per Policy verbieten, dass PCs mitgebracht werden, und Schülern mit Verweis drohen wenn sie das nicht einhalten, das hat manchmal auch abschreckende Wirkung, vor allem wenn man die Eltern mit einbezieht. Wie das rechtlich ist weiss ich jetzt nciht.
Rafiki
Rafiki 22.11.2006 um 20:10:18 Uhr
Goto Top
Pingilein schreibt
Wobei es mir hier nicht um die Gefahr geht, sondern um die Aufmerksamkeit im Unterricht.

Mit einem fiesen Grinsen: Wenn ihr den Unterricht interessanter gestaltet, dann surft auch niemand aus Langeweile face-wink

Und noch Kommentar, aber ernst gemeint, zum Thema Schule:
Es ist wirklich bedauerlich wenn in Deutschland die Schulen so knapp mit dem Geld sind. Ein qualifizierter Unterricht erfordert nach meiner Meinung auch gute Lehrmittel. Armes Deutschland.

Gruß Rafiki
27119
27119 22.11.2006 um 20:11:29 Uhr
Goto Top
Was ist 802.1X?

Ein PC wird an eine LAN- oder Switchdose angeschlossen.
Der PC hat noch KEINE Netzwerkverbindung! NUR das EAP Protokoll darf über den Switchport kommunizieren. Dabei wird per EAP-PEAP oder EAP-TLS oder welche EAP Variante man nutzt über die LAN Dose an den Switch mitgeteilt, wie Benutzername u. Passwort oder eben Maschinenkonto SID heissen. Welche EAP Variante man einsetzt ist dem Switch wurst - EAP ist für den Switch nur ein Container, den er an den RAdius-Server (IAS zb) weiterreicht. Der Switch muss nur 802.1X beherrschen und entsprechend konfiguriert sein.
Der Switch trägt diese Infos vom PC der um Eintritt bittet weiter an den Radius-Server. Dieser überprüft auf dem Domaincontroller, ob das Benutzerkonto stimmt, oder eben ob das Maschinenkonto (Computerkonto) im AD existiert.

Wenn ja, bekommt der Switch an diesem Port den Befehl, den Zugang freizuschalten.
Wenn nicht, dann gibz keinen Zugriff.

So ungefähr läuft das. Man kann es freilich noch bis ins Unendliche verkomplizieren, zb. mit Hostcheck um zu testen ob der Client auch Antivirensoftware laufen hat usw. und je nachdem den Zugriff gewähren oder verweigern. Dann ist man schon fast bei der Cisco NAC Lösung (Netwórk Admission Control) wo es richtig abgeht. Da kann man dann per Cisco ACS Server den Switch oder Router je nach Policies beliebig umkonfigurieren, zb. den Switchport in ein spezielles VLAN stecken oder was auch immer.
27119
27119 22.11.2006 um 20:16:44 Uhr
Goto Top
Ich bin der Meinung, PCs haben in der Schule garnix verloren. Hehe.

Wie komm ich auf sowas?

Nun, ich finde, junge Menschen sollen sich mit der "Realität" auseinandersetzen, soziale Kontakte pflegen, die Natur mit allen Sinnen wahrnehmen, im Dreck wühlen, Fussball spielen, raufen.
Später wenn sie reif sind können sie sich immernoch in die virtuellen Welten begeben - wichtiger ist jedoch erstmal ein gesundes Verhältnis zur Realität aufgebaut zu haben.
Ich empfinde es instinktiv als grossen Fehler zu denken, PCs würden Schülern oder Jugendlichen bei IRGENDWAS helfen. Eher das Gegenteil ist der Fall. Die Schüler versacken in virtuellen Baller-Welten und Sims-Galaxien, suchen den Kick bei rotten.com - úsw.

Wozu braucht ein Schüler Internetzugang? Um Informationen herbeizuschaffen, wie man binomische Formeln anwendet?
Von was träumt ihr nachts?
Es geht um Film- und musik-downloads, nackte Titten und Ballerspiele.
Chatten, Youtube, Assi-Toni, Fanseiten. Das hat mit Unterricht recht wenig zu tun.
Und überhaupt - was ist das für eine Schule, in der ein Lehrer es zulässt oder nichtmal merkt, dass seine Schüler den PC anhaben? Was ist so schwierig daran, zeitlich gesteuert den Internetzugang oder gar LAN Zugang während der Unterrichtszeiten abzuschalten?
Wiso lassen es Eltern zu dass ihre Kinder PCs in die Schule mitnehmen? Worüber wird bei den Elternabenden eigentlich so geredet? Fragen über Fragen.
Rafiki
Rafiki 22.11.2006 um 20:17:59 Uhr
Goto Top
duno hat recht, das WLAN ist sicher.
Leider nur solange keiner den WPA Key aus einem PC der Schule auslesen kann. Software findet sich dafür im Internet und könnte z.B. via USB Stick oder CD Rom auf den PC der Schule gelangen.

http://www.nirsoft.net/utils/wireless_key.html

Gruß Rafiki
Pingilein
Pingilein 22.11.2006 um 20:25:43 Uhr
Goto Top
Danke Duno!!!

Hast mich ja schon überzeugt ich werd sehen wie ich es umsetzen kann... und dann werd ich loslegen.
Ich hoffe Nur WIN2000 Client's unterstützen auch schon das 802.1x Dings Protokoll... aber das wird sich sicherlich nach installieren lassen!

Danke!
Pingilein
Pingilein 22.11.2006 um 20:28:26 Uhr
Goto Top
Na Danke Rafiki!

Damit lieferst Du mir nur den BEweis das WLAN eben NICHT sicher ist... wenn es nun sogar schon simmpelste Software gelingt den Key auszulesen uns man sich dann eben doch von einem Auto auf dem Parkplatz oder sontwo ausklinken kann!!!


Danke Danke Danke!!! *verbeug*
27119
27119 22.11.2006 um 20:35:18 Uhr
Goto Top
Na Danke Rafiki!

Damit lieferst Du mir nur den BEweis das
WLAN eben NICHT sicher ist... wenn es nun
sogar schon simmpelste Software gelingt den
Key auszulesen uns man sich dann eben doch
von einem Auto auf dem Parkplatz oder sontwo
ausklinken kann!!!

Na, jetzt lassen wir aber mal die Kirche im Dorf. face-wink
Das Programm das genannt wurde muss auf dem Notebook eines Lehrers ausgeführt werden.
Dazu müsste der Lehrer Schüler an seinen Rechner ranlassen. Oder ihn unbeaufsichtigt angemeldet laufen lassen.
Über Funk kann man den Key nicht auslesen.
Und selbst WENN der WPA Key kompromitiert wird, dann ändert man ihn eben wieder und passt das nächste mal besser auf seinen Laptop auf (den man schon aus Diebstahlsgründen ja wohl nicht frei rumstehen lässt).
Bei Rechnern, die auch von den Schülern benutzt werden´kann man ja wohl verhindern, dass ein Programm ausgeführt wird, oder ein USB Stick oder CDROM überhaupt benutzt werden kann.
Pingilein
Pingilein 22.11.2006 um 20:35:32 Uhr
Goto Top
Nur mal so nebenbei bemerkt....

Meine Clientel sind Abends Studenten!!!! Keien Eltern die Aufpassen....
mit denen hab ich übrigens auch keine Probs

VOrmittags sind es vom Arbeitsamt gesposerte junge Menschen die keine Arbeit haen und ein sogenannten Bewerbungstraining machen sollen, jedoch das nicht wollne und nur dahinkommen weil das Arbeitsamt sonst das Geld streicht.... auch hier keien Eltern die irgendwie aufpassen...

nur mal so nebenbeibemerkt!
Rafiki
Rafiki 22.11.2006 um 20:40:12 Uhr
Goto Top
Oh ja geil, alles verbieten und alles andere töten und Zensieren auch gleich! Mehr dumme Soldaten... ähhh Kinder wollte ich sagen, braucht unser Land! Jedes Kind mit einem "Gewalt verherrlichendem" Video im Handy wird ausgepeitscht, und zwar öffentlich. Suuuuuper.

Nur gentechnisch reine Kinder von ehrlichen Eltern, die nichts zu verbergen haben vor unserem Überwachungsstaat, dürfen ein Laptop besitzen und eine höhere Schulbildung genießen.

<Ironie ende>

Ob ich zu viel Heise gelesen habe? Mag sein. Aber ich meine, dass der Computerunterricht einen wichtigen Platz in der Schulbildung haben sollte. Das grundlegende bedienen und verstehen von Computern gehört in unserer Gesellschaft dazu wie aus lesen, schreiben, Führerschein und hoffentlich auch grundlegendes politisches Verständnis.
Auf welchen Beruf (Ausbildung) kann sich ein junger Mensch heute noch bewerben, ohne EDV Kenntnisse?
Ich habe hier den Eindruck Pingilein versucht wenigstens im Unterricht die weniger geeigneten Webseiten auszusperren. Eben damit die Schüler auch noch etwas lernen. Wir dürfen wohl alle davon ausgehen das es nicht möglich ist die privaten Stunden der Schüler im Internet zu kontrollieren. Vom Prinzip bin ich gegen Zensur, aber z.B. in einer Schule während der Unterricht läuft ist das bestimmt angebracht. Also hat auch duno recht. Private Laptops, Handys usw. haben im Klassenraum nichts zu suchen!
* Evtl. ist das Problem mit einem Schließfach besser zu lösen. *


Gruß Rafiki
27119
27119 22.11.2006 um 20:46:41 Uhr
Goto Top
So hat halt jeder seine Meinung! face-wink

Ich seh es an meinem Neffen.
In der Schule eine Niete, aber den ganzen Tag Fussballmanager am PC zocken.

Es geht auch nicht drum alles zu verbieten. Ich habe einige Kinder, und auch einen Fernseher. Ja, sogar einen Computer. Diese sind jedoch so in der Wohnung platziert, dass es ungemütlich ist, sie zu nutzen. Dadurch verkürzt sich automatisch die Zeit, die man daran verplempert. Wenn man einen riesigen Fernseher wie einen Altar mitten ins gemütliche Wohnzimmer stellt - ist doch klar dass der bei jeder Gelegenheit oder gar immer flimmert, da das Programm auf die niedersten Triebe abgestimmt ist und durch einen angeborenen Hang zum Schwachsinn sich der Mensch in aller Regel dieser Manipulation schwierig entziehen kann, wenn er ihr mal auf den Leim gegangen ist.

Meine Kinder sind glücklich. Die älteste lernt Geige und strickt gerne und malt viel. Ich weiss dass VERBOTE meist das Gegenteil bewirken, und ein gestörtes Verhältnis mancher Eltern zur Leistungs- und Anpassungsfähigkeit ihrer Kinder an IHRE Vorstellungen produziert auch eher depressive Erwachsene die sich verloren fühlen.

Genau da liegt die Verantwortung der Eltern. Das Kind lenken, ohne es zu drängen.
Talente entdecken und fördern. Zu Selbstsicherheit und Ausgeglichenheit erziehen.
Nicht vor einem Gerät ruhigstellen.
Das Kind soll nicht das tun, was ICH möchte, es soll das tun was ihm gut tut. Langfristig.
Und das ist bestimmt nicht TV guggen und am Computer hängen. Wenn ein Mensch reif genug ist und seine Phantasie gut ausgebildet ist (was einer der wichtigsten Aspkete der Kindheit ist) dann wird er - so er es wünscht - auch im IT Sektor grossartiges zustandebringen. Vor der virtuellen Realität sollte jedoch die Auseinandersetzung mit der "echten" Realität stehen, das ist meine Meinung dazu.

Gefestigte stabile Charaktere, und keine Roboter.
Keine verzweifelten, als Kind ungewollten erwachsenen Angsthasen, die sich zu Dingen hinwenden, die sie zerstören, da sie Erlösung erhoffen.


Doch - das ist ein ganz anderes Thema fürchte ich... ,-)
Pingilein
Pingilein 22.11.2006 um 20:46:49 Uhr
Goto Top
Okay.... folgendes beispiel

Alle Rechner wären mit WLAN ausgestattet.... (was ca 100 wlan karten bedeuten würde)
Nachbar Schüler sagt zum Nachbar .. ey hier probier mal das tool... kurz gesagt... die Spionage von Inne hat damit schon gewonnen! (kann ja keine Taschenkontrollen machen)

Ich weiß ich übertreib ein wenig, aber ein WLAN Netzwerk bietet nunmal merh Angriffspunkte wie ein Normales LAN.

Sorry, aber so wird das nix mit der Kirche im Dorf.

Schüler (vor allem erhgeizige neugierige) machen sowas.
Wir alle wissen wie schnell man sich Installationsrechte besorgen kann... schlimmstenfalls sogar den Administratorenaccount hacken kann... Oder???
Rafiki
Rafiki 22.11.2006 um 20:50:33 Uhr
Goto Top
Ohh Pingilein, das tut mir leid. Wir konnten ja nicht ahnen dass es sich um eine Zwangsveranstaltung für null-bock-arbeitslose handelt. Das ist ein hartes los.
Meistens hat man das Glück, das von 20 Teilnehmern so ein bis zwei echtes Interesse haben etwas zu lernen. Für die anderen kannst du ja eine Raucherpause von 8:00 bis 16:00 einführen.
Rafiki
Rafiki 22.11.2006 um 20:55:34 Uhr
Goto Top
Hi duno,

das finde ich mal ein lobenswertes Beispiel. Da wünscht man sich mehr Eltern die sich Gedanken machen um die Erziehung ihrer Kinder und sich dann auch noch Zeit nehmen. Ich hoffe ich werde das später auch mal so machen.

Meine Anerkennung dafür hast du,

Rafiki
aqui
aqui 23.11.2006 um 12:24:48 Uhr
Goto Top
und nicht zu vergessen werden sie meistens nebenbei auch noch Windows Knechte !!!
27119
27119 23.11.2006 um 14:50:15 Uhr
Goto Top
Die wohl einzige Freiheit die der Mensch hat ist wohl, dass man sich unter Umständen aussuchen kann, wessen Knecht man sein möchte. Manche sind auch die Knechte einer rebellischen Grundeinstellung. Wiso gehen Leute für 50Euro essen, wo es doch im Armenhaus eine warme Suppe, ein Salat und Brot für lau gibt? Weil sie das Gefühl haben dass das Menue für 50Eu besser ist. Tatsächlich werden wohl beide Gerichte die selbe Menge an Vitaminen und Nährstoffen enthalten - nur das Marketing ist ein anderes. face-wink