Verhindern von fremder (PC, Laptop etc.) Hardware im Netzwerk (Firm-, Schulnetzwerk)
Wie verhindere ich das Mitarbeiter (Schüler) eigene Hardware mitbringen und diese ins Netz hängen?
Hallo!
Ich unterliege dem Problem das ich an einer Weiterbildungseinrichtung und ein Netzwerk zu betreiben habe, welches an einer Internetverbindung hängt.
Jedoch bringen die Teilnehmer ihre eigenen PC'S (Laptops) mit, was dummerweise dazu führt das sie andere Dinge machen, wie sie eigentlich sollen. (Spiele installieren und zocken, saugen bis der Arzt kommt, etc.)
Ich habe einen DHCP Server auf einem Windows2000 Server zu laufen.
Gibt es ein Tool mit dem man die Möglichkeit hat fremde Geräte aus dem Netzwerk zu schmeissen.
Der DHCP Server kann ja leider nur Adressen reservieren, jedoch vergibt er ja weiterhin IP Adressen an Fremde Geräte.
MAC Filtering wäre sicherlich ne Lösung, jedoch kann ich mich nicht hinstellen und die MACadressen sperren... was sicherlich funtionieren würde!
Ein Tool mit dem man MACadressen ausliest ohne an das entsprechende Gerät zu müssen habe ich, jedoch keines was die MAC sperren kann.... oder hab ich was übersehen???????
Es wird zu einem wirklich unangenehmen Problem.
Schließlich sind unsere Rechner absichtlich etwas langsamer *kicher*
Für Ideen bin ich dankbar!
Danke
Hallo!
Ich unterliege dem Problem das ich an einer Weiterbildungseinrichtung und ein Netzwerk zu betreiben habe, welches an einer Internetverbindung hängt.
Jedoch bringen die Teilnehmer ihre eigenen PC'S (Laptops) mit, was dummerweise dazu führt das sie andere Dinge machen, wie sie eigentlich sollen. (Spiele installieren und zocken, saugen bis der Arzt kommt, etc.)
Ich habe einen DHCP Server auf einem Windows2000 Server zu laufen.
Gibt es ein Tool mit dem man die Möglichkeit hat fremde Geräte aus dem Netzwerk zu schmeissen.
Der DHCP Server kann ja leider nur Adressen reservieren, jedoch vergibt er ja weiterhin IP Adressen an Fremde Geräte.
MAC Filtering wäre sicherlich ne Lösung, jedoch kann ich mich nicht hinstellen und die MACadressen sperren... was sicherlich funtionieren würde!
Ein Tool mit dem man MACadressen ausliest ohne an das entsprechende Gerät zu müssen habe ich, jedoch keines was die MAC sperren kann.... oder hab ich was übersehen???????
Es wird zu einem wirklich unangenehmen Problem.
Schließlich sind unsere Rechner absichtlich etwas langsamer *kicher*
Für Ideen bin ich dankbar!
Danke
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 45110
Url: https://administrator.de/forum/verhindern-von-fremder-pc-laptop-etc-hardware-im-netzwerk-firm-schulnetzwerk-45110.html
Ausgedruckt am: 23.12.2024 um 17:12 Uhr
31 Kommentare
Neuester Kommentar
Also - klar gibz Lösungen, die sind aber recht komplex zum Beispiel 802.1X.
Dazu müssen die Switches oder der WLAN Ap 802.1X unterstützen, und du musst einen Radiusserver betreiben (IAS ist bei Windows Server mit dabei und relativ einfach zu konfigurieren). Dann muss sich jeder Netzteilnehmer erstmal authentifizieren, oder aber das Maschinenkonto des Windows Rechners muss im Active Directory angelegt sein, sonst geht erstmal GARNIX mit Netzwerkteilnahme. Das klingt hier recht kompliziert, ist aber sooo schwierig nicht, vor allem wenn die Komponenten die ihr einsetzt das Protokoll schon unterstützen muss man es ja nur noch einrichten.
Das Saugen kannst du dadurch unterbinden, dass du an der Firewall, die den Zugang zum Internet regelt, beispielsweise für eine bestimmte IP-Range nur Port 80 und 443 erlaubst.
Oder gar das surfen nur zu bestimmten Zeiten erlauben.
Für eine andere IP Range im DHCP (Lehrer-Rechner) kannst du die Regeln grosszügiger gestalten, falls das so gebraucht wird.
Im DHCP kannst du festlegen, dass bestimmte MAC Adressen immer die selbe Adresse bekommen sollen (zb Lehrerrechner).
Wirklich sicher ist das freilich nicht - irgendwann kapieren die Schüler, welcher IP Range mehr Berechtigungen hat und geben sich einfach manuell eine aus diesem Range - was u. U. zu IP Adressenkonflikten führen kann.
Über MAC Adressen kann man die Sicherheit leider nicht gewährleisten (höchstens den Zugang für unberechtigte erschweren).
Dazu müssen die Switches oder der WLAN Ap 802.1X unterstützen, und du musst einen Radiusserver betreiben (IAS ist bei Windows Server mit dabei und relativ einfach zu konfigurieren). Dann muss sich jeder Netzteilnehmer erstmal authentifizieren, oder aber das Maschinenkonto des Windows Rechners muss im Active Directory angelegt sein, sonst geht erstmal GARNIX mit Netzwerkteilnahme. Das klingt hier recht kompliziert, ist aber sooo schwierig nicht, vor allem wenn die Komponenten die ihr einsetzt das Protokoll schon unterstützen muss man es ja nur noch einrichten.
Das Saugen kannst du dadurch unterbinden, dass du an der Firewall, die den Zugang zum Internet regelt, beispielsweise für eine bestimmte IP-Range nur Port 80 und 443 erlaubst.
Oder gar das surfen nur zu bestimmten Zeiten erlauben.
Für eine andere IP Range im DHCP (Lehrer-Rechner) kannst du die Regeln grosszügiger gestalten, falls das so gebraucht wird.
Im DHCP kannst du festlegen, dass bestimmte MAC Adressen immer die selbe Adresse bekommen sollen (zb Lehrerrechner).
Wirklich sicher ist das freilich nicht - irgendwann kapieren die Schüler, welcher IP Range mehr Berechtigungen hat und geben sich einfach manuell eine aus diesem Range - was u. U. zu IP Adressenkonflikten führen kann.
Über MAC Adressen kann man die Sicherheit leider nicht gewährleisten (höchstens den Zugang für unberechtigte erschweren).
Hallo,
Es gibt managementfähige Switches, die sich so einstellen lassen, daß nur registrierte MAC-Adressen eine Verbindung erhalten. Wenn euer Switch diese Möglichkeit bietet, kann man das ja nutzen.
Wie duno schon sagte, ist diese Möglichkeit nicht allzu sicher, aber immerhin besser als nix.
mfG
Stefan
Es gibt managementfähige Switches, die sich so einstellen lassen, daß nur registrierte MAC-Adressen eine Verbindung erhalten. Wenn euer Switch diese Möglichkeit bietet, kann man das ja nutzen.
Wie duno schon sagte, ist diese Möglichkeit nicht allzu sicher, aber immerhin besser als nix.
mfG
Stefan
Hallo,
Ich glaube, daß deine Schüler eher an Altersschwäche sterben, als einen guten Wlan-Schlüssel zu knacken.
Die, die das Protokoll nicht installiert haben, werden ratzfatz aus dem Netz geschmissen.
Für einen Radiusserver fehlen die
Resourcen... hier frag ich mich auch wie ich
damit fremde Hardware identifizieren kann und
draussen halten kann????
EIN IAS... okay, aber wie soll das nun
wieder funzen?
AD ist übrigens angelegt, aber trotzdem
kann ja jeder Rechner auch ohne im AD zu
stehen, eine IP bekommen, und somit im
Netztwerk eine eigene kleine Arbeitsgruppe
aufmachen...
Das surfen (saugen) wäre nicht das
Problem, wenn die gar nicht erst ins Netz
kommen.
-Im Grunde müsste man doch eine
Blacklist mit allen verwendeten Macadressen
zusammen bekommen, und alle anderen
Macadressen bleiben ausgesperrt.????? Muss
doch irgendwie gehen.-
<klug###>
Das wär dann eine "Whitelist"
</klug###>
Ich kann doch bei einer Firewall auch nach
MACadressen filtern. Warum kann man nicht dem
DHCP sagen er soll "Blackgelistete"
MAC adressen keine IP Nummer zuweisen, das
wäre doch das einfachste. Die wenigsten
Leute wissen wie man eine MAC Adresse
manipuliert!
Aber viele wissen, wie man eine statische IP-Adresse einstellt.
Damit wäre der DHCP-Server wirksam umgangen.
Das ganze steht und fällt mit den Möglichkeiten euerer Switches.
Diese müssen die Möglichkeit haben, einzelne Anschlüsse Softwaremäßig abzuschalten.
(So wie ich das verstanden habe, ist das der Kern von 802.1X)
mfG
Stefan
EIN WLAN.... SORRY kommt nicht in die
Tüte, damit fällt das schon mal
flach. Egal wie hoch ich die
Verschlüssellung setze die Leute haben
genug Zeit um das zu knacken.
Tüte, damit fällt das schon mal
flach. Egal wie hoch ich die
Verschlüssellung setze die Leute haben
genug Zeit um das zu knacken.
Ich glaube, daß deine Schüler eher an Altersschwäche sterben, als einen guten Wlan-Schlüssel zu knacken.
Das besagte Protokoll... 802.1x... geht das
auch ohne Wlan????? (Problem hier ist
natürlich, was passiert mit den Rechnern
die das Protokoll nicht instaliert haben, was
ja in den meisten fällen der Fall sein
wird... die machen doch dann trotzdem was sie
wollen?)
auch ohne Wlan????? (Problem hier ist
natürlich, was passiert mit den Rechnern
die das Protokoll nicht instaliert haben, was
ja in den meisten fällen der Fall sein
wird... die machen doch dann trotzdem was sie
wollen?)
Die, die das Protokoll nicht installiert haben, werden ratzfatz aus dem Netz geschmissen.
Für einen Radiusserver fehlen die
Resourcen... hier frag ich mich auch wie ich
damit fremde Hardware identifizieren kann und
draussen halten kann????
EIN IAS... okay, aber wie soll das nun
wieder funzen?
AD ist übrigens angelegt, aber trotzdem
kann ja jeder Rechner auch ohne im AD zu
stehen, eine IP bekommen, und somit im
Netztwerk eine eigene kleine Arbeitsgruppe
aufmachen...
Das surfen (saugen) wäre nicht das
Problem, wenn die gar nicht erst ins Netz
kommen.
-Im Grunde müsste man doch eine
Blacklist mit allen verwendeten Macadressen
zusammen bekommen, und alle anderen
Macadressen bleiben ausgesperrt.????? Muss
doch irgendwie gehen.-
<klug###>
Das wär dann eine "Whitelist"
</klug###>
Ich kann doch bei einer Firewall auch nach
MACadressen filtern. Warum kann man nicht dem
DHCP sagen er soll "Blackgelistete"
MAC adressen keine IP Nummer zuweisen, das
wäre doch das einfachste. Die wenigsten
Leute wissen wie man eine MAC Adresse
manipuliert!
Aber viele wissen, wie man eine statische IP-Adresse einstellt.
Damit wäre der DHCP-Server wirksam umgangen.
Bei unbekannten oder neuen Macadressen eine
Nachricht an den EDV mann und schon geht es
doch.. Ohne MACadresse geht nunmal nix im
Netz.
Hast DU irgendwie irgendwo ne Kurzanleitung
wie du das mit dem IAS meinst???? Vielleicht
ist ja da mehr drann als ich glaub?
Nachricht an den EDV mann und schon geht es
doch.. Ohne MACadresse geht nunmal nix im
Netz.
Hast DU irgendwie irgendwo ne Kurzanleitung
wie du das mit dem IAS meinst???? Vielleicht
ist ja da mehr drann als ich glaub?
Das ganze steht und fällt mit den Möglichkeiten euerer Switches.
Diese müssen die Möglichkeit haben, einzelne Anschlüsse Softwaremäßig abzuschalten.
(So wie ich das verstanden habe, ist das der Kern von 802.1X)
mfG
Stefan
Auch ich kann hier leider keine einfach, sicher, schnell und kostenlos Lösung anbieten. Aber....
Bei einem managebaren Switch kann man festlegen welche MAC Adressen an welchen Ports zugelassen sind. Damit wird z.B. sichergestellt das nicht die MAC Adresse von dem Server kopiert wird. Gute Hardware kostet leider Geld.
Beispiele von Nortel: (Gibt es aber auch von HP, Intel, Cisco, D-Link)
Nortel Baystack 450 24T, Hat 24 Ports mit je 100MBit, ca. EUR 1500 (manchmal bei Ebay zu haben)
Nortel Ethernet Routing Switch 5510, 24 gigabit Ports, ca. EUR 3000
Nortel Ethernet Routing Switch 5510, 48 gigabit Ports, ca. EUR 4000
Damit verhinderst du das euer Netzwerk von fremden Notebooks benutzt wird.
Eine andere Möglichkeit wäre ein Proxy (Firewall + Cache) der festlegt welche Internetseiten erreichbar sind. Der Benutzer muss sich erst am Proxy anmelden und wird damit einer Gruppe zugeordnet die bestimmte Inhalte, nach Themen sortiert (politisch, Sex, Spiele, unanständig.....) nicht erreichen kann. Das ist besonders geeignet um Jugendschutzbestimmungen z.B. für das Login student durch zusetzten und gleichzeitig auch MSN Messenger usw. zu sperren.
http://www.marshal.com/pages/webmarshal.asp
Auf dieser Webseite http://www.schule.bayern.de/beratung/iuk/filter/anbieter.php wird die Software "Time for Kids" positiv hervorgehoben.
http://www.time-for-kids.de
Gruß Rafiki
Bei einem managebaren Switch kann man festlegen welche MAC Adressen an welchen Ports zugelassen sind. Damit wird z.B. sichergestellt das nicht die MAC Adresse von dem Server kopiert wird. Gute Hardware kostet leider Geld.
Beispiele von Nortel: (Gibt es aber auch von HP, Intel, Cisco, D-Link)
Nortel Baystack 450 24T, Hat 24 Ports mit je 100MBit, ca. EUR 1500 (manchmal bei Ebay zu haben)
Nortel Ethernet Routing Switch 5510, 24 gigabit Ports, ca. EUR 3000
Nortel Ethernet Routing Switch 5510, 48 gigabit Ports, ca. EUR 4000
Damit verhinderst du das euer Netzwerk von fremden Notebooks benutzt wird.
Eine andere Möglichkeit wäre ein Proxy (Firewall + Cache) der festlegt welche Internetseiten erreichbar sind. Der Benutzer muss sich erst am Proxy anmelden und wird damit einer Gruppe zugeordnet die bestimmte Inhalte, nach Themen sortiert (politisch, Sex, Spiele, unanständig.....) nicht erreichen kann. Das ist besonders geeignet um Jugendschutzbestimmungen z.B. für das Login student durch zusetzten und gleichzeitig auch MSN Messenger usw. zu sperren.
http://www.marshal.com/pages/webmarshal.asp
Die Software WebMarshal 3.5 von NetIQ ist ein leistungsfähiges Werkzeug, um den Zugriff auf Web-Ressourcen effektiv zu schützen und die Nutzung von Web-Inhalten durch die Anwender gezielt zu steuern. Im Gegensatz zu einfachen Proxy-Lösungen, bei denen der Datenstrom allenfalls auf Viren untersucht wird, erlaubt der WebMarshal eine weitaus differenziertere Kontrolle des Datenstroms. So können Downloads potentiell gefährlicher Dateien (z.B. ActiveX Controls, EXE Dateien, Dokumentdateien mit Skript-Code usw.) gezielt blockiert werden. Dieses Blockieren kann dabei als unternehmensweite Policy durchgesetzt oder nur für bestimmte Nutzergruppen angewandt werden. So bleibt es z.B. Mitarbeitern mit Aufgaben in der IT weiterhin möglich ausführbare Dateien herunterzuladen.
(Werbetext geklaut von: http://www.lynet.de/aktuelles/produkte_aktionen/netiq.html)Auf dieser Webseite http://www.schule.bayern.de/beratung/iuk/filter/anbieter.php wird die Software "Time for Kids" positiv hervorgehoben.
Fazit
Unter Berücksichtigung der in Augenschein genommenen Lösungen erscheint derzeit das Angebot der Firma Time for Kids die für Schulen beste Lösung für eine situationsangepasste Filterung von unerwünschten Internetinhalten zu sein, sowohl was den Umfang der angebotenen Filterlisten, als auch was die Ausgestaltung der Software im Hinblick auf die Handhabbarkeit betrifft.
"Es bleibt jedoch festzuhalten, dass keine der auf dem Markt befindlichen oder zukünftig zu erwartenden technischen Lösungen die Schule und Lehrer vor Ort von ihrer gesetzlich geregelten Aufsichtspflicht entbindet."
Unter Berücksichtigung der in Augenschein genommenen Lösungen erscheint derzeit das Angebot der Firma Time for Kids die für Schulen beste Lösung für eine situationsangepasste Filterung von unerwünschten Internetinhalten zu sein, sowohl was den Umfang der angebotenen Filterlisten, als auch was die Ausgestaltung der Software im Hinblick auf die Handhabbarkeit betrifft.
"Es bleibt jedoch festzuhalten, dass keine der auf dem Markt befindlichen oder zukünftig zu erwartenden technischen Lösungen die Schule und Lehrer vor Ort von ihrer gesetzlich geregelten Aufsichtspflicht entbindet."
http://www.time-for-kids.de
Gruß Rafiki
einen wunderschönen guten abend,
also hier jetzt meine lösung:
vor allem würde der proxy sogleich euren traffic senken!!
falls jetzt der einwurf kommen sollte das es nix kosten soll:
so würde ich das wahrscheinlich lösen.
mfg godlike P
also hier jetzt meine lösung:
- den DHCP so einstellen das MAC <----> IP bezogen ist, dh jeder rechner bekommt nur die ip die seiner MAC zugeordnet ist
- einen proxy server, zb Squid, installieren und da acls einstellen (zb es dürfen nur die rechner ins netz die nicht auf ner blacklist stehen oder die richtige ip+mac adresse haben oder oder oder,da kann man viel einstellen)
vor allem würde der proxy sogleich euren traffic senken!!
falls jetzt der einwurf kommen sollte das es nix kosten soll:
- squid läuft auf linux
- squid is open source und kostenfrei
- linux hat minimale system anforderungen (ein 1 ghz rechner mit 256mb ram und bissl platte dürfte reichen)
so würde ich das wahrscheinlich lösen.
mfg godlike P
Das Konfigurieren des DHCP Servers bringt aber nichts um den Zugang zu verhindern. Jeder kann sich eine statische Adresse mit seinem mitgebrachten Gerät setzen und schon ist er im Netz....
Der Proxy ist auch nur bedingt sicher, denn wenn jemand die IP Adresse des Routers kennt komm ich auch direkt ins Internet.
Das erfordert dann einen Filter auf dem Router der nur Traffic vom Proxy ins Internet lässt.
Kann man so einen Filter konfigurieren ist es aber ein gangbarer Weg.
Ohne Möglichkeit Filter auf dem Router zu konfigurieren, weiles auch wieder ein Billigprodukt sein musste ist ein Proxy ohne Sinn und Wirkung, denn den umgehe ich einfach über den Direktweg über den Router !
Besser ist dann sowas wie die ct' mal gemacht hat mit dem Schulserver der Proxy und Router in einem ist. Das wird dann schon eher eine Herausforderung für Schüler das zu umgehen...scheitert dann aber wohl an der Hardwareinvestition...aber ggf. liegt irgendwo noch ein alter Rechner rum der das dann kann....
Das Problem das aber fremde Hardware im Netz ist die sonstwas macht und im Netz verbreitet löst du damit keinesfalls !
"duno" hat Recht, da es dafür nur eine sinnvolle Lösung gibt und das ist 802.1x Portsecurity. Alles MAC basierte hilft nichts, denn das kann ich problemlos faken. Dürfte für Schüler in Sekunden machbar sein...
802.1x supporten auch schon fast alle "Billigheimer" unter den Switches nur eben nicht die Allerbilligsten.
Du brauchst dafür einen Radius Server, der den Benutzerzugang regelt. Das kann der IAS von MS sein, der bei jedem MS Server dabei ist und nebenher als Task auf einem vorhandenen MS Server rennt. Da du das "Geld" angesprochen hast kannst du aber auch problemlos den kostenlosen Freeradius Server (www.freeradius.org) unter Linux verwenden. Der ist sowieso immer bei jeder Linux Distro mit dabei...das wäre die 0 Cost Lösung.
Der Switch blockt dann per default alle Schülerports oder generell alle Ports und fragt sie nach einem Benutzernamen, die er an den Radius Server schickt zu Authentifizierung. Kennt der den Benutzer wird der Port freigegeben.
Viele Switches suporten mit der Freigabe auch eine Access Liste die mit der Radius Authentifizierung auf den Port gelegt wird und z.B. damit nur eingeschränkte Kommunikation je nach Benutzer erlaubt (z.B. nur HTTP Web Traffic mit dem Proxy für Schüler oder alles für die Lehrer)
Meist kann man wählen ob bei Nichtauthorisierung dann der Port geblockt bleibt oder dieser Benutzer in ein sog. Quarantäne VLAN kommt aus dem er sehr eingeschränkte Zugriffsrechte hat.
All das ist problemlos machbar und die Konfiguration so eines Radius Servers ist sehr einfach.
Allerdings steckst du in einem Dilemma:
All das bekommt man nicht mit NoName Taiwan Switches vom Grabbeltisch im Geiz ist geil Markt ! Aber schon etwas...nur "etwas" bessere Switches bieten solche Möglichkeit.
Komisch ist das an "Bildungseinrichtungen" meist Riesensummen kommentarlos für MS Produkte und Lizenzen ausgegeben werden aber für die wirklich wichtigen sicherheitsrelevanten Sachen muss es dann billigster Taiwan Kram sein.
Hohe Sicherheitsanforderungen oder höherwertige Features und diese Billigstkomponenten passen einfach nicht zusammen so das du wahrscheinlich mit deinen etwas anarchistischem Netz weiterleben musst.
Schüler sind meist schlauer als primitive Hardware (was auch nicht falsch ist, denn das ist das wirklich Interessante..) und da muss man meist etwas größere "Geschütze" auffahren wenn man wirkliche Sicherheit haben will und nicht irgendwelchen Bastelkram mit kostenlosen Bordmitteln den ich als Schüler in 5 Sekunden knacken kann
Der Proxy ist auch nur bedingt sicher, denn wenn jemand die IP Adresse des Routers kennt komm ich auch direkt ins Internet.
Das erfordert dann einen Filter auf dem Router der nur Traffic vom Proxy ins Internet lässt.
Kann man so einen Filter konfigurieren ist es aber ein gangbarer Weg.
Ohne Möglichkeit Filter auf dem Router zu konfigurieren, weiles auch wieder ein Billigprodukt sein musste ist ein Proxy ohne Sinn und Wirkung, denn den umgehe ich einfach über den Direktweg über den Router !
Besser ist dann sowas wie die ct' mal gemacht hat mit dem Schulserver der Proxy und Router in einem ist. Das wird dann schon eher eine Herausforderung für Schüler das zu umgehen...scheitert dann aber wohl an der Hardwareinvestition...aber ggf. liegt irgendwo noch ein alter Rechner rum der das dann kann....
Das Problem das aber fremde Hardware im Netz ist die sonstwas macht und im Netz verbreitet löst du damit keinesfalls !
"duno" hat Recht, da es dafür nur eine sinnvolle Lösung gibt und das ist 802.1x Portsecurity. Alles MAC basierte hilft nichts, denn das kann ich problemlos faken. Dürfte für Schüler in Sekunden machbar sein...
802.1x supporten auch schon fast alle "Billigheimer" unter den Switches nur eben nicht die Allerbilligsten.
Du brauchst dafür einen Radius Server, der den Benutzerzugang regelt. Das kann der IAS von MS sein, der bei jedem MS Server dabei ist und nebenher als Task auf einem vorhandenen MS Server rennt. Da du das "Geld" angesprochen hast kannst du aber auch problemlos den kostenlosen Freeradius Server (www.freeradius.org) unter Linux verwenden. Der ist sowieso immer bei jeder Linux Distro mit dabei...das wäre die 0 Cost Lösung.
Der Switch blockt dann per default alle Schülerports oder generell alle Ports und fragt sie nach einem Benutzernamen, die er an den Radius Server schickt zu Authentifizierung. Kennt der den Benutzer wird der Port freigegeben.
Viele Switches suporten mit der Freigabe auch eine Access Liste die mit der Radius Authentifizierung auf den Port gelegt wird und z.B. damit nur eingeschränkte Kommunikation je nach Benutzer erlaubt (z.B. nur HTTP Web Traffic mit dem Proxy für Schüler oder alles für die Lehrer)
Meist kann man wählen ob bei Nichtauthorisierung dann der Port geblockt bleibt oder dieser Benutzer in ein sog. Quarantäne VLAN kommt aus dem er sehr eingeschränkte Zugriffsrechte hat.
All das ist problemlos machbar und die Konfiguration so eines Radius Servers ist sehr einfach.
Allerdings steckst du in einem Dilemma:
All das bekommt man nicht mit NoName Taiwan Switches vom Grabbeltisch im Geiz ist geil Markt ! Aber schon etwas...nur "etwas" bessere Switches bieten solche Möglichkeit.
Komisch ist das an "Bildungseinrichtungen" meist Riesensummen kommentarlos für MS Produkte und Lizenzen ausgegeben werden aber für die wirklich wichtigen sicherheitsrelevanten Sachen muss es dann billigster Taiwan Kram sein.
Hohe Sicherheitsanforderungen oder höherwertige Features und diese Billigstkomponenten passen einfach nicht zusammen so das du wahrscheinlich mit deinen etwas anarchistischem Netz weiterleben musst.
Schüler sind meist schlauer als primitive Hardware (was auch nicht falsch ist, denn das ist das wirklich Interessante..) und da muss man meist etwas größere "Geschütze" auffahren wenn man wirkliche Sicherheit haben will und nicht irgendwelchen Bastelkram mit kostenlosen Bordmitteln den ich als Schüler in 5 Sekunden knacken kann
Hallo,
Man könnte mal probieren, ob man mit VPN weiterkommt.
[ getunneltes LAN ]
Rechner -------------------------------------------- Internet-Gateway mit Proxy...
[.................................]
Die Schüler können sich bei dir im Lan austoben, aber wer ins Internet will, MUSS durch den Tunnel. Und das geht nur mit installierter VPN-Software.
mfG
Stefan
Man könnte mal probieren, ob man mit VPN weiterkommt.
[ getunneltes LAN ]
Rechner -------------------------------------------- Internet-Gateway mit Proxy...
[.................................]
Die Schüler können sich bei dir im Lan austoben, aber wer ins Internet will, MUSS durch den Tunnel. Und das geht nur mit installierter VPN-Software.
mfG
Stefan
AAALSO Jetzt mal Klartext
Das ist meines Erachtens der einzig gangbare Weg beim derzeitigen Stand der Technik um fremde Rechner davon abzuhalten, am kabelgebundenen LAN teilzunehmen. Alles andere ist relativ leicht kompromitierbar.
Euer Problem ist nicht nur illegaler Download von Filmen u. Musik aus dem Internet, sondern auch die Infizierung von Rechnern im LAn durch mitgebrachte private PCs. Ihr könntet dies auch per Policy verbieten, dass PCs mitgebracht werden, und Schülern mit Verweis drohen wenn sie das nicht einhalten, das hat manchmal auch abschreckende Wirkung, vor allem wenn man die Eltern mit einbezieht. Wie das rechtlich ist weiss ich jetzt nciht.
- 802.1X stellt SICHER, dass keine fremden PCs mehr Verbindung mit dem LAN aufnehmen können.
- da du Active Directory betreibst, bietet sich der IAS an, das ist quasi ein Radiusserver, der mit paar Mausklicks auf dem Domaincontroller installiert werden kann und auf der Server CD vom Windows Server schon dabei ist.
- für 802.1X brauchst du auf den PCs keine spezielle Software, das wird von XP schon automatisch unterstützt. Du musst unter den Netzwerkadaptereigenschaften nur einstellen, welche Art von Authentifizierung genommen werden soll, in der Regel PEAP. Dann noch paar Klicks beim IAS und das wars. Man kann wie gesagt das Maschinenkonto der in der domäne registrierten Windowsclients benutzen, oder aber Benutzername u. Domänenpasswort.
- damit das geht, müsstet ihr in neue 802.1X fähige Switches investieren
- WPA Verschlüsselung im WLAN Bereich (unabhängig von 802.1X) ist definitiv nicht knackbar solange der Schlüssel lang genug ist. Punkt.
- wenn man 802.1X im WLAN Bereich einsetzt und mit WEP betreibt, ist das auch kein Beinbruch, da mit authentifizierten und berechtigten WLAn Clients ein Session-Key ausgehandelt wird, also nicht immer der selbe WEP Key benutzt wird, so dass das Knacken des WEP Keys (was durchaus möglich ist) dem Angreifer wenig bringt
- 802.1X wurde ursprünglich für WLAN "erfunden", kann aber genausogut im LAN eingesetzt werden und bietet derzeit wohl die zuverlässigste Sicherungsmethode an die zu haben ist.
- alle Sicherungsmassnahmen, die irgendwie mit DHCP und MAC Adressen zu tun haben sind pillepalle einfach auszuhebeln, dazu braucht man keinen Spezialisten
Das ist meines Erachtens der einzig gangbare Weg beim derzeitigen Stand der Technik um fremde Rechner davon abzuhalten, am kabelgebundenen LAN teilzunehmen. Alles andere ist relativ leicht kompromitierbar.
- Billige Alternativlösung: WLAN wäre in euerm Fall sicherer!!!!
Euer Problem ist nicht nur illegaler Download von Filmen u. Musik aus dem Internet, sondern auch die Infizierung von Rechnern im LAn durch mitgebrachte private PCs. Ihr könntet dies auch per Policy verbieten, dass PCs mitgebracht werden, und Schülern mit Verweis drohen wenn sie das nicht einhalten, das hat manchmal auch abschreckende Wirkung, vor allem wenn man die Eltern mit einbezieht. Wie das rechtlich ist weiss ich jetzt nciht.
Pingilein schreibt
Mit einem fiesen Grinsen: Wenn ihr den Unterricht interessanter gestaltet, dann surft auch niemand aus Langeweile
Und noch Kommentar, aber ernst gemeint, zum Thema Schule:
Es ist wirklich bedauerlich wenn in Deutschland die Schulen so knapp mit dem Geld sind. Ein qualifizierter Unterricht erfordert nach meiner Meinung auch gute Lehrmittel. Armes Deutschland.
Gruß Rafiki
Wobei es mir hier nicht um die Gefahr geht, sondern um die Aufmerksamkeit im Unterricht.
Mit einem fiesen Grinsen: Wenn ihr den Unterricht interessanter gestaltet, dann surft auch niemand aus Langeweile
Und noch Kommentar, aber ernst gemeint, zum Thema Schule:
Es ist wirklich bedauerlich wenn in Deutschland die Schulen so knapp mit dem Geld sind. Ein qualifizierter Unterricht erfordert nach meiner Meinung auch gute Lehrmittel. Armes Deutschland.
Gruß Rafiki
Was ist 802.1X?
Ein PC wird an eine LAN- oder Switchdose angeschlossen.
Der PC hat noch KEINE Netzwerkverbindung! NUR das EAP Protokoll darf über den Switchport kommunizieren. Dabei wird per EAP-PEAP oder EAP-TLS oder welche EAP Variante man nutzt über die LAN Dose an den Switch mitgeteilt, wie Benutzername u. Passwort oder eben Maschinenkonto SID heissen. Welche EAP Variante man einsetzt ist dem Switch wurst - EAP ist für den Switch nur ein Container, den er an den RAdius-Server (IAS zb) weiterreicht. Der Switch muss nur 802.1X beherrschen und entsprechend konfiguriert sein.
Der Switch trägt diese Infos vom PC der um Eintritt bittet weiter an den Radius-Server. Dieser überprüft auf dem Domaincontroller, ob das Benutzerkonto stimmt, oder eben ob das Maschinenkonto (Computerkonto) im AD existiert.
Wenn ja, bekommt der Switch an diesem Port den Befehl, den Zugang freizuschalten.
Wenn nicht, dann gibz keinen Zugriff.
So ungefähr läuft das. Man kann es freilich noch bis ins Unendliche verkomplizieren, zb. mit Hostcheck um zu testen ob der Client auch Antivirensoftware laufen hat usw. und je nachdem den Zugriff gewähren oder verweigern. Dann ist man schon fast bei der Cisco NAC Lösung (Netwórk Admission Control) wo es richtig abgeht. Da kann man dann per Cisco ACS Server den Switch oder Router je nach Policies beliebig umkonfigurieren, zb. den Switchport in ein spezielles VLAN stecken oder was auch immer.
Ein PC wird an eine LAN- oder Switchdose angeschlossen.
Der PC hat noch KEINE Netzwerkverbindung! NUR das EAP Protokoll darf über den Switchport kommunizieren. Dabei wird per EAP-PEAP oder EAP-TLS oder welche EAP Variante man nutzt über die LAN Dose an den Switch mitgeteilt, wie Benutzername u. Passwort oder eben Maschinenkonto SID heissen. Welche EAP Variante man einsetzt ist dem Switch wurst - EAP ist für den Switch nur ein Container, den er an den RAdius-Server (IAS zb) weiterreicht. Der Switch muss nur 802.1X beherrschen und entsprechend konfiguriert sein.
Der Switch trägt diese Infos vom PC der um Eintritt bittet weiter an den Radius-Server. Dieser überprüft auf dem Domaincontroller, ob das Benutzerkonto stimmt, oder eben ob das Maschinenkonto (Computerkonto) im AD existiert.
Wenn ja, bekommt der Switch an diesem Port den Befehl, den Zugang freizuschalten.
Wenn nicht, dann gibz keinen Zugriff.
So ungefähr läuft das. Man kann es freilich noch bis ins Unendliche verkomplizieren, zb. mit Hostcheck um zu testen ob der Client auch Antivirensoftware laufen hat usw. und je nachdem den Zugriff gewähren oder verweigern. Dann ist man schon fast bei der Cisco NAC Lösung (Netwórk Admission Control) wo es richtig abgeht. Da kann man dann per Cisco ACS Server den Switch oder Router je nach Policies beliebig umkonfigurieren, zb. den Switchport in ein spezielles VLAN stecken oder was auch immer.
Ich bin der Meinung, PCs haben in der Schule garnix verloren. Hehe.
Wie komm ich auf sowas?
Nun, ich finde, junge Menschen sollen sich mit der "Realität" auseinandersetzen, soziale Kontakte pflegen, die Natur mit allen Sinnen wahrnehmen, im Dreck wühlen, Fussball spielen, raufen.
Später wenn sie reif sind können sie sich immernoch in die virtuellen Welten begeben - wichtiger ist jedoch erstmal ein gesundes Verhältnis zur Realität aufgebaut zu haben.
Ich empfinde es instinktiv als grossen Fehler zu denken, PCs würden Schülern oder Jugendlichen bei IRGENDWAS helfen. Eher das Gegenteil ist der Fall. Die Schüler versacken in virtuellen Baller-Welten und Sims-Galaxien, suchen den Kick bei rotten.com - úsw.
Wozu braucht ein Schüler Internetzugang? Um Informationen herbeizuschaffen, wie man binomische Formeln anwendet?
Von was träumt ihr nachts?
Es geht um Film- und musik-downloads, nackte Titten und Ballerspiele.
Chatten, Youtube, Assi-Toni, Fanseiten. Das hat mit Unterricht recht wenig zu tun.
Und überhaupt - was ist das für eine Schule, in der ein Lehrer es zulässt oder nichtmal merkt, dass seine Schüler den PC anhaben? Was ist so schwierig daran, zeitlich gesteuert den Internetzugang oder gar LAN Zugang während der Unterrichtszeiten abzuschalten?
Wiso lassen es Eltern zu dass ihre Kinder PCs in die Schule mitnehmen? Worüber wird bei den Elternabenden eigentlich so geredet? Fragen über Fragen.
Wie komm ich auf sowas?
Nun, ich finde, junge Menschen sollen sich mit der "Realität" auseinandersetzen, soziale Kontakte pflegen, die Natur mit allen Sinnen wahrnehmen, im Dreck wühlen, Fussball spielen, raufen.
Später wenn sie reif sind können sie sich immernoch in die virtuellen Welten begeben - wichtiger ist jedoch erstmal ein gesundes Verhältnis zur Realität aufgebaut zu haben.
Ich empfinde es instinktiv als grossen Fehler zu denken, PCs würden Schülern oder Jugendlichen bei IRGENDWAS helfen. Eher das Gegenteil ist der Fall. Die Schüler versacken in virtuellen Baller-Welten und Sims-Galaxien, suchen den Kick bei rotten.com - úsw.
Wozu braucht ein Schüler Internetzugang? Um Informationen herbeizuschaffen, wie man binomische Formeln anwendet?
Von was träumt ihr nachts?
Es geht um Film- und musik-downloads, nackte Titten und Ballerspiele.
Chatten, Youtube, Assi-Toni, Fanseiten. Das hat mit Unterricht recht wenig zu tun.
Und überhaupt - was ist das für eine Schule, in der ein Lehrer es zulässt oder nichtmal merkt, dass seine Schüler den PC anhaben? Was ist so schwierig daran, zeitlich gesteuert den Internetzugang oder gar LAN Zugang während der Unterrichtszeiten abzuschalten?
Wiso lassen es Eltern zu dass ihre Kinder PCs in die Schule mitnehmen? Worüber wird bei den Elternabenden eigentlich so geredet? Fragen über Fragen.
duno hat recht, das WLAN ist sicher.
Leider nur solange keiner den WPA Key aus einem PC der Schule auslesen kann. Software findet sich dafür im Internet und könnte z.B. via USB Stick oder CD Rom auf den PC der Schule gelangen.
http://www.nirsoft.net/utils/wireless_key.html
Gruß Rafiki
Leider nur solange keiner den WPA Key aus einem PC der Schule auslesen kann. Software findet sich dafür im Internet und könnte z.B. via USB Stick oder CD Rom auf den PC der Schule gelangen.
http://www.nirsoft.net/utils/wireless_key.html
Gruß Rafiki
Na Danke Rafiki!
Damit lieferst Du mir nur den BEweis das
WLAN eben NICHT sicher ist... wenn es nun
sogar schon simmpelste Software gelingt den
Key auszulesen uns man sich dann eben doch
von einem Auto auf dem Parkplatz oder sontwo
ausklinken kann!!!
Na, jetzt lassen wir aber mal die Kirche im Dorf. Damit lieferst Du mir nur den BEweis das
WLAN eben NICHT sicher ist... wenn es nun
sogar schon simmpelste Software gelingt den
Key auszulesen uns man sich dann eben doch
von einem Auto auf dem Parkplatz oder sontwo
ausklinken kann!!!
Das Programm das genannt wurde muss auf dem Notebook eines Lehrers ausgeführt werden.
Dazu müsste der Lehrer Schüler an seinen Rechner ranlassen. Oder ihn unbeaufsichtigt angemeldet laufen lassen.
Über Funk kann man den Key nicht auslesen.
Und selbst WENN der WPA Key kompromitiert wird, dann ändert man ihn eben wieder und passt das nächste mal besser auf seinen Laptop auf (den man schon aus Diebstahlsgründen ja wohl nicht frei rumstehen lässt).
Bei Rechnern, die auch von den Schülern benutzt werden´kann man ja wohl verhindern, dass ein Programm ausgeführt wird, oder ein USB Stick oder CDROM überhaupt benutzt werden kann.
Oh ja geil, alles verbieten und alles andere töten und Zensieren auch gleich! Mehr dumme Soldaten... ähhh Kinder wollte ich sagen, braucht unser Land! Jedes Kind mit einem "Gewalt verherrlichendem" Video im Handy wird ausgepeitscht, und zwar öffentlich. Suuuuuper.
Nur gentechnisch reine Kinder von ehrlichen Eltern, die nichts zu verbergen haben vor unserem Überwachungsstaat, dürfen ein Laptop besitzen und eine höhere Schulbildung genießen.
<Ironie ende>
Ob ich zu viel Heise gelesen habe? Mag sein. Aber ich meine, dass der Computerunterricht einen wichtigen Platz in der Schulbildung haben sollte. Das grundlegende bedienen und verstehen von Computern gehört in unserer Gesellschaft dazu wie aus lesen, schreiben, Führerschein und hoffentlich auch grundlegendes politisches Verständnis.
Auf welchen Beruf (Ausbildung) kann sich ein junger Mensch heute noch bewerben, ohne EDV Kenntnisse?
Ich habe hier den Eindruck Pingilein versucht wenigstens im Unterricht die weniger geeigneten Webseiten auszusperren. Eben damit die Schüler auch noch etwas lernen. Wir dürfen wohl alle davon ausgehen das es nicht möglich ist die privaten Stunden der Schüler im Internet zu kontrollieren. Vom Prinzip bin ich gegen Zensur, aber z.B. in einer Schule während der Unterricht läuft ist das bestimmt angebracht. Also hat auch duno recht. Private Laptops, Handys usw. haben im Klassenraum nichts zu suchen!
* Evtl. ist das Problem mit einem Schließfach besser zu lösen. *
Gruß Rafiki
Nur gentechnisch reine Kinder von ehrlichen Eltern, die nichts zu verbergen haben vor unserem Überwachungsstaat, dürfen ein Laptop besitzen und eine höhere Schulbildung genießen.
<Ironie ende>
Ob ich zu viel Heise gelesen habe? Mag sein. Aber ich meine, dass der Computerunterricht einen wichtigen Platz in der Schulbildung haben sollte. Das grundlegende bedienen und verstehen von Computern gehört in unserer Gesellschaft dazu wie aus lesen, schreiben, Führerschein und hoffentlich auch grundlegendes politisches Verständnis.
Auf welchen Beruf (Ausbildung) kann sich ein junger Mensch heute noch bewerben, ohne EDV Kenntnisse?
Ich habe hier den Eindruck Pingilein versucht wenigstens im Unterricht die weniger geeigneten Webseiten auszusperren. Eben damit die Schüler auch noch etwas lernen. Wir dürfen wohl alle davon ausgehen das es nicht möglich ist die privaten Stunden der Schüler im Internet zu kontrollieren. Vom Prinzip bin ich gegen Zensur, aber z.B. in einer Schule während der Unterricht läuft ist das bestimmt angebracht. Also hat auch duno recht. Private Laptops, Handys usw. haben im Klassenraum nichts zu suchen!
* Evtl. ist das Problem mit einem Schließfach besser zu lösen. *
Gruß Rafiki
So hat halt jeder seine Meinung!
Ich seh es an meinem Neffen.
In der Schule eine Niete, aber den ganzen Tag Fussballmanager am PC zocken.
Es geht auch nicht drum alles zu verbieten. Ich habe einige Kinder, und auch einen Fernseher. Ja, sogar einen Computer. Diese sind jedoch so in der Wohnung platziert, dass es ungemütlich ist, sie zu nutzen. Dadurch verkürzt sich automatisch die Zeit, die man daran verplempert. Wenn man einen riesigen Fernseher wie einen Altar mitten ins gemütliche Wohnzimmer stellt - ist doch klar dass der bei jeder Gelegenheit oder gar immer flimmert, da das Programm auf die niedersten Triebe abgestimmt ist und durch einen angeborenen Hang zum Schwachsinn sich der Mensch in aller Regel dieser Manipulation schwierig entziehen kann, wenn er ihr mal auf den Leim gegangen ist.
Meine Kinder sind glücklich. Die älteste lernt Geige und strickt gerne und malt viel. Ich weiss dass VERBOTE meist das Gegenteil bewirken, und ein gestörtes Verhältnis mancher Eltern zur Leistungs- und Anpassungsfähigkeit ihrer Kinder an IHRE Vorstellungen produziert auch eher depressive Erwachsene die sich verloren fühlen.
Genau da liegt die Verantwortung der Eltern. Das Kind lenken, ohne es zu drängen.
Talente entdecken und fördern. Zu Selbstsicherheit und Ausgeglichenheit erziehen.
Nicht vor einem Gerät ruhigstellen.
Das Kind soll nicht das tun, was ICH möchte, es soll das tun was ihm gut tut. Langfristig.
Und das ist bestimmt nicht TV guggen und am Computer hängen. Wenn ein Mensch reif genug ist und seine Phantasie gut ausgebildet ist (was einer der wichtigsten Aspkete der Kindheit ist) dann wird er - so er es wünscht - auch im IT Sektor grossartiges zustandebringen. Vor der virtuellen Realität sollte jedoch die Auseinandersetzung mit der "echten" Realität stehen, das ist meine Meinung dazu.
Gefestigte stabile Charaktere, und keine Roboter.
Keine verzweifelten, als Kind ungewollten erwachsenen Angsthasen, die sich zu Dingen hinwenden, die sie zerstören, da sie Erlösung erhoffen.
Doch - das ist ein ganz anderes Thema fürchte ich... ,-)
Ich seh es an meinem Neffen.
In der Schule eine Niete, aber den ganzen Tag Fussballmanager am PC zocken.
Es geht auch nicht drum alles zu verbieten. Ich habe einige Kinder, und auch einen Fernseher. Ja, sogar einen Computer. Diese sind jedoch so in der Wohnung platziert, dass es ungemütlich ist, sie zu nutzen. Dadurch verkürzt sich automatisch die Zeit, die man daran verplempert. Wenn man einen riesigen Fernseher wie einen Altar mitten ins gemütliche Wohnzimmer stellt - ist doch klar dass der bei jeder Gelegenheit oder gar immer flimmert, da das Programm auf die niedersten Triebe abgestimmt ist und durch einen angeborenen Hang zum Schwachsinn sich der Mensch in aller Regel dieser Manipulation schwierig entziehen kann, wenn er ihr mal auf den Leim gegangen ist.
Meine Kinder sind glücklich. Die älteste lernt Geige und strickt gerne und malt viel. Ich weiss dass VERBOTE meist das Gegenteil bewirken, und ein gestörtes Verhältnis mancher Eltern zur Leistungs- und Anpassungsfähigkeit ihrer Kinder an IHRE Vorstellungen produziert auch eher depressive Erwachsene die sich verloren fühlen.
Genau da liegt die Verantwortung der Eltern. Das Kind lenken, ohne es zu drängen.
Talente entdecken und fördern. Zu Selbstsicherheit und Ausgeglichenheit erziehen.
Nicht vor einem Gerät ruhigstellen.
Das Kind soll nicht das tun, was ICH möchte, es soll das tun was ihm gut tut. Langfristig.
Und das ist bestimmt nicht TV guggen und am Computer hängen. Wenn ein Mensch reif genug ist und seine Phantasie gut ausgebildet ist (was einer der wichtigsten Aspkete der Kindheit ist) dann wird er - so er es wünscht - auch im IT Sektor grossartiges zustandebringen. Vor der virtuellen Realität sollte jedoch die Auseinandersetzung mit der "echten" Realität stehen, das ist meine Meinung dazu.
Gefestigte stabile Charaktere, und keine Roboter.
Keine verzweifelten, als Kind ungewollten erwachsenen Angsthasen, die sich zu Dingen hinwenden, die sie zerstören, da sie Erlösung erhoffen.
Doch - das ist ein ganz anderes Thema fürchte ich... ,-)
Ohh Pingilein, das tut mir leid. Wir konnten ja nicht ahnen dass es sich um eine Zwangsveranstaltung für null-bock-arbeitslose handelt. Das ist ein hartes los.
Meistens hat man das Glück, das von 20 Teilnehmern so ein bis zwei echtes Interesse haben etwas zu lernen. Für die anderen kannst du ja eine Raucherpause von 8:00 bis 16:00 einführen.
Meistens hat man das Glück, das von 20 Teilnehmern so ein bis zwei echtes Interesse haben etwas zu lernen. Für die anderen kannst du ja eine Raucherpause von 8:00 bis 16:00 einführen.
Die wohl einzige Freiheit die der Mensch hat ist wohl, dass man sich unter Umständen aussuchen kann, wessen Knecht man sein möchte. Manche sind auch die Knechte einer rebellischen Grundeinstellung. Wiso gehen Leute für 50Euro essen, wo es doch im Armenhaus eine warme Suppe, ein Salat und Brot für lau gibt? Weil sie das Gefühl haben dass das Menue für 50Eu besser ist. Tatsächlich werden wohl beide Gerichte die selbe Menge an Vitaminen und Nährstoffen enthalten - nur das Marketing ist ein anderes.