Verhindern von fremder (PC, Laptop etc.) Hardware im Netzwerk (Firm-, Schulnetzwerk)

Hallo,

Es gibt managementfähige Switches, die sich so einstellen lassen, daß nur registrierte MAC-Adressen eine Verbindung erhalten. Wenn euer Switch diese Möglichkeit bietet, kann man das ja nutzen.

Wie duno schon sagte, ist diese Möglichkeit nicht allzu sicher, aber immerhin besser als nix.

mfG
Stefan

Hallo,


Ich glaube, daß deine Schüler eher an Altersschwäche sterben, als einen guten Wlan-Schlüssel zu knacken.


Die, die das Protokoll nicht installiert haben, werden ratzfatz aus dem Netz geschmissen.


<klug###>
Das wär dann eine "Whitelist"
</klug###>


Aber viele wissen, wie man eine statische IP-Adresse einstellt.
Damit wäre der DHCP-Server wirksam umgangen.


Das ganze steht und fällt mit den Möglichkeiten euerer Switches.
Diese müssen die Möglichkeit haben, einzelne Anschlüsse Softwaremäßig abzuschalten.
(So wie ich das verstanden habe, ist das der Kern von 802.1X)

mfG
Stefan

Auch ich kann hier leider keine einfach, sicher, schnell und kostenlos Lösung anbieten. Aber....

Bei einem managebaren Switch kann man festlegen welche MAC Adressen an welchen Ports zugelassen sind. Damit wird z.B. sichergestellt das nicht die MAC Adresse von dem Server kopiert wird. Gute Hardware kostet leider Geld.
Beispiele von Nortel: (Gibt es aber auch von HP, Intel, Cisco, D-Link)
Nortel Baystack 450 24T, Hat 24 Ports mit je 100MBit, ca. EUR 1500 (manchmal bei Ebay zu haben)
Nortel Ethernet Routing Switch 5510, 24 gigabit Ports, ca. EUR 3000
Nortel Ethernet Routing Switch 5510, 48 gigabit Ports, ca. EUR 4000
Damit verhinderst du das euer Netzwerk von fremden Notebooks benutzt wird.


Eine andere Möglichkeit wäre ein Proxy (Firewall + Cache) der festlegt welche Internetseiten erreichbar sind. Der Benutzer muss sich erst am Proxy anmelden und wird damit einer Gruppe zugeordnet die bestimmte Inhalte, nach Themen sortiert (politisch, Sex, Spiele, unanständig.....) nicht erreichen kann. Das ist besonders geeignet um Jugendschutzbestimmungen z.B. für das Login student durch zusetzten und gleichzeitig auch MSN Messenger usw. zu sperren.
http://www.marshal.com/pages/webmarshal.asp

(Werbetext geklaut von: http://www.lynet.de/aktuelles/produkte_aktionen/netiq.html)


Auf dieser Webseite http://www.schule.bayern.de/beratung/iuk/filter/anbieter.php wird die Software "Time for Kids" positiv hervorgehoben.

http://www.time-for-kids.de


Gruß Rafiki

einen wunderschönen guten abend,

also hier jetzt meine lösung:

• den DHCP so einstellen das MAC <----> IP bezogen ist, dh jeder rechner bekommt nur die ip die seiner MAC zugeordnet ist
• einen proxy server, zb Squid, installieren und da acls einstellen (zb es dürfen nur die rechner ins netz die nicht auf ner blacklist stehen oder die richtige ip+mac adresse haben oder oder oder,da kann man viel einstellen)

vor allem würde der proxy sogleich euren traffic senken!!
falls jetzt der einwurf kommen sollte das es nix kosten soll:

• squid läuft auf linux
• squid is open source und kostenfrei
• linux hat minimale system anforderungen (ein 1 ghz rechner mit 256mb ram und bissl platte dürfte reichen)

so würde ich das wahrscheinlich lösen.

mfg godlike P

Das Konfigurieren des DHCP Servers bringt aber nichts um den Zugang zu verhindern. Jeder kann sich eine statische Adresse mit seinem mitgebrachten Gerät setzen und schon ist er im Netz....
Der Proxy ist auch nur bedingt sicher, denn wenn jemand die IP Adresse des Routers kennt komm ich auch direkt ins Internet.
Das erfordert dann einen Filter auf dem Router der nur Traffic vom Proxy ins Internet lässt.
Kann man so einen Filter konfigurieren ist es aber ein gangbarer Weg.
Ohne Möglichkeit Filter auf dem Router zu konfigurieren, weiles auch wieder ein Billigprodukt sein musste ist ein Proxy ohne Sinn und Wirkung, denn den umgehe ich einfach über den Direktweg über den Router !
Besser ist dann sowas wie die ct' mal gemacht hat mit dem Schulserver der Proxy und Router in einem ist. Das wird dann schon eher eine Herausforderung für Schüler das zu umgehen...scheitert dann aber wohl an der Hardwareinvestition...aber ggf. liegt irgendwo noch ein alter Rechner rum der das dann kann....

Das Problem das aber fremde Hardware im Netz ist die sonstwas macht und im Netz verbreitet löst du damit keinesfalls !

"duno" hat Recht, da es dafür nur eine sinnvolle Lösung gibt und das ist 802.1x Portsecurity. Alles MAC basierte hilft nichts, denn das kann ich problemlos faken. Dürfte für Schüler in Sekunden machbar sein...
802.1x supporten auch schon fast alle "Billigheimer" unter den Switches nur eben nicht die Allerbilligsten.
Du brauchst dafür einen Radius Server, der den Benutzerzugang regelt. Das kann der IAS von MS sein, der bei jedem MS Server dabei ist und nebenher als Task auf einem vorhandenen MS Server rennt. Da du das "Geld" angesprochen hast kannst du aber auch problemlos den kostenlosen Freeradius Server (www.freeradius.org) unter Linux verwenden. Der ist sowieso immer bei jeder Linux Distro mit dabei...das wäre die 0 Cost Lösung.

Der Switch blockt dann per default alle Schülerports oder generell alle Ports und fragt sie nach einem Benutzernamen, die er an den Radius Server schickt zu Authentifizierung. Kennt der den Benutzer wird der Port freigegeben.
Viele Switches suporten mit der Freigabe auch eine Access Liste die mit der Radius Authentifizierung auf den Port gelegt wird und z.B. damit nur eingeschränkte Kommunikation je nach Benutzer erlaubt (z.B. nur HTTP Web Traffic mit dem Proxy für Schüler oder alles für die Lehrer)
Meist kann man wählen ob bei Nichtauthorisierung dann der Port geblockt bleibt oder dieser Benutzer in ein sog. Quarantäne VLAN kommt aus dem er sehr eingeschränkte Zugriffsrechte hat.
All das ist problemlos machbar und die Konfiguration so eines Radius Servers ist sehr einfach.
Allerdings steckst du in einem Dilemma:
All das bekommt man nicht mit NoName Taiwan Switches vom Grabbeltisch im Geiz ist geil Markt ! Aber schon etwas...nur "etwas" bessere Switches bieten solche Möglichkeit.
Komisch ist das an "Bildungseinrichtungen" meist Riesensummen kommentarlos für MS Produkte und Lizenzen ausgegeben werden aber für die wirklich wichtigen sicherheitsrelevanten Sachen muss es dann billigster Taiwan Kram sein.
Hohe Sicherheitsanforderungen oder höherwertige Features und diese Billigstkomponenten passen einfach nicht zusammen so das du wahrscheinlich mit deinen etwas anarchistischem Netz weiterleben musst.
Schüler sind meist schlauer als primitive Hardware (was auch nicht falsch ist, denn das ist das wirklich Interessante..) und da muss man meist etwas größere "Geschütze" auffahren wenn man wirkliche Sicherheit haben will und nicht irgendwelchen Bastelkram mit kostenlosen Bordmitteln den ich als Schüler in 5 Sekunden knacken kann

Hallo,

Man könnte mal probieren, ob man mit VPN weiterkommt.
[ getunneltes LAN ]
Rechner -------------------------------------------- Internet-Gateway mit Proxy...
[.................................]

Die Schüler können sich bei dir im Lan austoben, aber wer ins Internet will, MUSS durch den Tunnel. Und das geht nur mit installierter VPN-Software.

mfG
Stefan

AAALSO Jetzt mal Klartext

• 802.1X stellt SICHER, dass keine fremden PCs mehr Verbindung mit dem LAN aufnehmen können.
• da du Active Directory betreibst, bietet sich der IAS an, das ist quasi ein Radiusserver, der mit paar Mausklicks auf dem Domaincontroller installiert werden kann und auf der Server CD vom Windows Server schon dabei ist.
• für 802.1X brauchst du auf den PCs keine spezielle Software, das wird von XP schon automatisch unterstützt. Du musst unter den Netzwerkadaptereigenschaften nur einstellen, welche Art von Authentifizierung genommen werden soll, in der Regel PEAP. Dann noch paar Klicks beim IAS und das wars. Man kann wie gesagt das Maschinenkonto der in der domäne registrierten Windowsclients benutzen, oder aber Benutzername u. Domänenpasswort.
• damit das geht, müsstet ihr in neue 802.1X fähige Switches investieren
• WPA Verschlüsselung im WLAN Bereich (unabhängig von 802.1X) ist definitiv nicht knackbar solange der Schlüssel lang genug ist. Punkt.
• wenn man 802.1X im WLAN Bereich einsetzt und mit WEP betreibt, ist das auch kein Beinbruch, da mit authentifizierten und berechtigten WLAn Clients ein Session-Key ausgehandelt wird, also nicht immer der selbe WEP Key benutzt wird, so dass das Knacken des WEP Keys (was durchaus möglich ist) dem Angreifer wenig bringt
• 802.1X wurde ursprünglich für WLAN "erfunden", kann aber genausogut im LAN eingesetzt werden und bietet derzeit wohl die zuverlässigste Sicherungsmethode an die zu haben ist.
• alle Sicherungsmassnahmen, die irgendwie mit DHCP und MAC Adressen zu tun haben sind pillepalle einfach auszuhebeln, dazu braucht man keinen Spezialisten

Das ist meines Erachtens der einzig gangbare Weg beim derzeitigen Stand der Technik um fremde Rechner davon abzuhalten, am kabelgebundenen LAN teilzunehmen. Alles andere ist relativ leicht kompromitierbar.

• Billige Alternativlösung: WLAN wäre in euerm Fall sicherer!!!!

Ihr könntet auch eigene PCs an die Switches bzw. LAN Dosen anschliessen u. fest mit den LAN dosen verbinden, damit da überhaupt keine Anschlussmöglichkeit mehr besteht. Die bereitgestellten PCs könnt ihr mit sehr eingeschränkten Rechten betreiben, und freilich auch das Booten von CD verhindern durch BIOS Passwort. Wiso stellt ihr überhaupt benutzbare LAN Dosen bereit, wenn sich doch keiner damit verbinden darf? Da halte ich WLAN ja fast für sicherer ehrlichgesagt, wenn man es mit Verschlüsselung usw macht. Den Schlüssel könnten ja die Lehrer geheimhalten, oder am besten garnicht kennen da nur DU ihre Notebooks damit konfigurierst. Dann kann sich garantiert auch kein anderer Rechner da reinhängen wenn er den WPA Key nicht kennt. In dem Fall braucht ihr auch weder 802.1X noch sonstwas, sondern nur ein paar billige WLAN Access Points, und schmeisst die Switches in den Wald.

Euer Problem ist nicht nur illegaler Download von Filmen u. Musik aus dem Internet, sondern auch die Infizierung von Rechnern im LAn durch mitgebrachte private PCs. Ihr könntet dies auch per Policy verbieten, dass PCs mitgebracht werden, und Schülern mit Verweis drohen wenn sie das nicht einhalten, das hat manchmal auch abschreckende Wirkung, vor allem wenn man die Eltern mit einbezieht. Wie das rechtlich ist weiss ich jetzt nciht.

Pingilein schreibt

Mit einem fiesen Grinsen: Wenn ihr den Unterricht interessanter gestaltet, dann surft auch niemand aus Langeweile

Und noch Kommentar, aber ernst gemeint, zum Thema Schule:
Es ist wirklich bedauerlich wenn in Deutschland die Schulen so knapp mit dem Geld sind. Ein qualifizierter Unterricht erfordert nach meiner Meinung auch gute Lehrmittel. Armes Deutschland.

Gruß Rafiki

Was ist 802.1X?

Ein PC wird an eine LAN- oder Switchdose angeschlossen.
Der PC hat noch KEINE Netzwerkverbindung! NUR das EAP Protokoll darf über den Switchport kommunizieren. Dabei wird per EAP-PEAP oder EAP-TLS oder welche EAP Variante man nutzt über die LAN Dose an den Switch mitgeteilt, wie Benutzername u. Passwort oder eben Maschinenkonto SID heissen. Welche EAP Variante man einsetzt ist dem Switch wurst - EAP ist für den Switch nur ein Container, den er an den RAdius-Server (IAS zb) weiterreicht. Der Switch muss nur 802.1X beherrschen und entsprechend konfiguriert sein.
Der Switch trägt diese Infos vom PC der um Eintritt bittet weiter an den Radius-Server. Dieser überprüft auf dem Domaincontroller, ob das Benutzerkonto stimmt, oder eben ob das Maschinenkonto (Computerkonto) im AD existiert.

Wenn ja, bekommt der Switch an diesem Port den Befehl, den Zugang freizuschalten.
Wenn nicht, dann gibz keinen Zugriff.

So ungefähr läuft das. Man kann es freilich noch bis ins Unendliche verkomplizieren, zb. mit Hostcheck um zu testen ob der Client auch Antivirensoftware laufen hat usw. und je nachdem den Zugriff gewähren oder verweigern. Dann ist man schon fast bei der Cisco NAC Lösung (Netwórk Admission Control) wo es richtig abgeht. Da kann man dann per Cisco ACS Server den Switch oder Router je nach Policies beliebig umkonfigurieren, zb. den Switchport in ein spezielles VLAN stecken oder was auch immer.

Ich bin der Meinung, PCs haben in der Schule garnix verloren. Hehe.

Wie komm ich auf sowas?

Nun, ich finde, junge Menschen sollen sich mit der "Realität" auseinandersetzen, soziale Kontakte pflegen, die Natur mit allen Sinnen wahrnehmen, im Dreck wühlen, Fussball spielen, raufen.
Später wenn sie reif sind können sie sich immernoch in die virtuellen Welten begeben - wichtiger ist jedoch erstmal ein gesundes Verhältnis zur Realität aufgebaut zu haben.
Ich empfinde es instinktiv als grossen Fehler zu denken, PCs würden Schülern oder Jugendlichen bei IRGENDWAS helfen. Eher das Gegenteil ist der Fall. Die Schüler versacken in virtuellen Baller-Welten und Sims-Galaxien, suchen den Kick bei rotten.com - úsw.

Wozu braucht ein Schüler Internetzugang? Um Informationen herbeizuschaffen, wie man binomische Formeln anwendet?
Von was träumt ihr nachts?
Es geht um Film- und musik-downloads, nackte Titten und Ballerspiele.
Chatten, Youtube, Assi-Toni, Fanseiten. Das hat mit Unterricht recht wenig zu tun.
Und überhaupt - was ist das für eine Schule, in der ein Lehrer es zulässt oder nichtmal merkt, dass seine Schüler den PC anhaben? Was ist so schwierig daran, zeitlich gesteuert den Internetzugang oder gar LAN Zugang während der Unterrichtszeiten abzuschalten?
Wiso lassen es Eltern zu dass ihre Kinder PCs in die Schule mitnehmen? Worüber wird bei den Elternabenden eigentlich so geredet? Fragen über Fragen.

duno hat recht, das WLAN ist sicher.
Leider nur solange keiner den WPA Key aus einem PC der Schule auslesen kann. Software findet sich dafür im Internet und könnte z.B. via USB Stick oder CD Rom auf den PC der Schule gelangen.

http://www.nirsoft.net/utils/wireless_key.html

Gruß Rafiki

Na, jetzt lassen wir aber mal die Kirche im Dorf.
Das Programm das genannt wurde muss auf dem Notebook eines Lehrers ausgeführt werden.
Dazu müsste der Lehrer Schüler an seinen Rechner ranlassen. Oder ihn unbeaufsichtigt angemeldet laufen lassen.
Über Funk kann man den Key nicht auslesen.
Und selbst WENN der WPA Key kompromitiert wird, dann ändert man ihn eben wieder und passt das nächste mal besser auf seinen Laptop auf (den man schon aus Diebstahlsgründen ja wohl nicht frei rumstehen lässt).
Bei Rechnern, die auch von den Schülern benutzt werden´kann man ja wohl verhindern, dass ein Programm ausgeführt wird, oder ein USB Stick oder CDROM überhaupt benutzt werden kann.

Oh ja geil, alles verbieten und alles andere töten und Zensieren auch gleich! Mehr dumme Soldaten... ähhh Kinder wollte ich sagen, braucht unser Land! Jedes Kind mit einem "Gewalt verherrlichendem" Video im Handy wird ausgepeitscht, und zwar öffentlich. Suuuuuper.

Nur gentechnisch reine Kinder von ehrlichen Eltern, die nichts zu verbergen haben vor unserem Überwachungsstaat, dürfen ein Laptop besitzen und eine höhere Schulbildung genießen.

<Ironie ende>

Ob ich zu viel Heise gelesen habe? Mag sein. Aber ich meine, dass der Computerunterricht einen wichtigen Platz in der Schulbildung haben sollte. Das grundlegende bedienen und verstehen von Computern gehört in unserer Gesellschaft dazu wie aus lesen, schreiben, Führerschein und hoffentlich auch grundlegendes politisches Verständnis.
Auf welchen Beruf (Ausbildung) kann sich ein junger Mensch heute noch bewerben, ohne EDV Kenntnisse?
Ich habe hier den Eindruck Pingilein versucht wenigstens im Unterricht die weniger geeigneten Webseiten auszusperren. Eben damit die Schüler auch noch etwas lernen. Wir dürfen wohl alle davon ausgehen das es nicht möglich ist die privaten Stunden der Schüler im Internet zu kontrollieren. Vom Prinzip bin ich gegen Zensur, aber z.B. in einer Schule während der Unterricht läuft ist das bestimmt angebracht. Also hat auch duno recht. Private Laptops, Handys usw. haben im Klassenraum nichts zu suchen!
* Evtl. ist das Problem mit einem Schließfach besser zu lösen. *


Gruß Rafiki

So hat halt jeder seine Meinung!

Ich seh es an meinem Neffen.
In der Schule eine Niete, aber den ganzen Tag Fussballmanager am PC zocken.

Es geht auch nicht drum alles zu verbieten. Ich habe einige Kinder, und auch einen Fernseher. Ja, sogar einen Computer. Diese sind jedoch so in der Wohnung platziert, dass es ungemütlich ist, sie zu nutzen. Dadurch verkürzt sich automatisch die Zeit, die man daran verplempert. Wenn man einen riesigen Fernseher wie einen Altar mitten ins gemütliche Wohnzimmer stellt - ist doch klar dass der bei jeder Gelegenheit oder gar immer flimmert, da das Programm auf die niedersten Triebe abgestimmt ist und durch einen angeborenen Hang zum Schwachsinn sich der Mensch in aller Regel dieser Manipulation schwierig entziehen kann, wenn er ihr mal auf den Leim gegangen ist.

Meine Kinder sind glücklich. Die älteste lernt Geige und strickt gerne und malt viel. Ich weiss dass VERBOTE meist das Gegenteil bewirken, und ein gestörtes Verhältnis mancher Eltern zur Leistungs- und Anpassungsfähigkeit ihrer Kinder an IHRE Vorstellungen produziert auch eher depressive Erwachsene die sich verloren fühlen.

Genau da liegt die Verantwortung der Eltern. Das Kind lenken, ohne es zu drängen.
Talente entdecken und fördern. Zu Selbstsicherheit und Ausgeglichenheit erziehen.
Nicht vor einem Gerät ruhigstellen.
Das Kind soll nicht das tun, was ICH möchte, es soll das tun was ihm gut tut. Langfristig.
Und das ist bestimmt nicht TV guggen und am Computer hängen. Wenn ein Mensch reif genug ist und seine Phantasie gut ausgebildet ist (was einer der wichtigsten Aspkete der Kindheit ist) dann wird er - so er es wünscht - auch im IT Sektor grossartiges zustandebringen. Vor der virtuellen Realität sollte jedoch die Auseinandersetzung mit der "echten" Realität stehen, das ist meine Meinung dazu.

Gefestigte stabile Charaktere, und keine Roboter.
Keine verzweifelten, als Kind ungewollten erwachsenen Angsthasen, die sich zu Dingen hinwenden, die sie zerstören, da sie Erlösung erhoffen.


Doch - das ist ein ganz anderes Thema fürchte ich... ,-)

Ohh Pingilein, das tut mir leid. Wir konnten ja nicht ahnen dass es sich um eine Zwangsveranstaltung für null-bock-arbeitslose handelt. Das ist ein hartes los.
Meistens hat man das Glück, das von 20 Teilnehmern so ein bis zwei echtes Interesse haben etwas zu lernen. Für die anderen kannst du ja eine Raucherpause von 8:00 bis 16:00 einführen.

Hi duno,

das finde ich mal ein lobenswertes Beispiel. Da wünscht man sich mehr Eltern die sich Gedanken machen um die Erziehung ihrer Kinder und sich dann auch noch Zeit nehmen. Ich hoffe ich werde das später auch mal so machen.

Meine Anerkennung dafür hast du,

Rafiki

und nicht zu vergessen werden sie meistens nebenbei auch noch Windows Knechte !!!