jochenrichter
Goto Top

Wie kann ich die Schüler meiner Schule daran hindern den WPA-Key auszulesen?

Die Schüler unserer Schule wollen unbedingt an das WPA-Key kommen. Wie kann ich die Schüler meiner Schule daran hindern den WPA-Key auszulesen?

Die Schüler unserer Schule wollen unbedingt an das WPA-Key kommen, damit sie mit ihren Handys/ Laptops ins Netz kommen. Da wir aber nur eine geringe Bandbreite haben führt das zu einer Überlastung des Netzes. Die Schüler gehen immer an die Schullaptops, lesen dort den WPA-Key aus und können somit über Wlan ins Netz.
Eine Variante ist ja die Verwendung von MAC-Filtern. Das ist (bei uns) insofern problematisch als dass die Schüler dann einfach die MAC-Adresse ihres Rechners auf die einer unserer Laptops setzen...

... Ich habe mit nun folgendes Vorgestellt. Ich suche nach einer Software, die ich auf die Clients installiere. Diese soll die Anmeldung ans Wlan übernehmen, soll aber den WPA-Key für unsere Schüler nicht sichtbar (oder auslesbar) hinterlegt haben. Die Software sollte eine Passwortabfrage habe, sodass nur die Admins auf den WPA-Key zugreifen können.

Kennt jemand eine Software die soetwas kann?

Vielen Dank im Voraus


Jochen Richter

Content-ID: 160070

Url: https://administrator.de/forum/wie-kann-ich-die-schueler-meiner-schule-daran-hindern-den-wpa-key-auszulesen-160070.html

Ausgedruckt am: 23.12.2024 um 07:12 Uhr

maretz
maretz 03.02.2011 um 15:47:20 Uhr
Goto Top
naja - ich sag mal so: Als erstes würde ich das mal mit Radius versuchen. Hier muss sich dann das Gerät am Server anmelden.

Falls das nicht hilft bliebe immer noch die Option das du von den Laptops aus die User in ein spezielles Netz packst. Dort dürfen die dann NUR über eine VPN-Verbindung raus. Dann sollen die Schüler halt den WPA-Key knacken -> HF & GL! Der bringt denen nur nichts solang die nicht an das VPN-Passwort kommen. Dabei ist dann auch die MAC egal...

Damit sollte das ganze dann für ruhe sorgen. Und im Zweifel würde ich notfalls sogar mal gucken ob ich ermitteln kann wer das ist - und denjenigen mal für nen Tag nach Hause schicken...
dog
dog 03.02.2011 um 15:47:49 Uhr
Goto Top
Wie kann ich die Schüler meiner Schule daran hindern den WPA-Key auszulesen?

Gib das Projekt auf, das wird zu kompliziert.

Dazu müsstest du verhindern, dass sie
a) die Festplatte ausbauen können
b) ein anderes OS starten können
c) eigene Programme ausführen können (da wird es schwierig).

Viel leichter wäre es wenn du auf zertifikatbasiertes 802.1x umstellst und die Computer per Zertifikat anmelden lässt.
Das lässt sich je nach Konfiguration nicht ganz so leicht kopieren und wenn es mal ein Schüler geklaut hat kommt das Zertifikat auf die Sperrliste und fertig.
JochenRichter
JochenRichter 03.02.2011 um 15:51:15 Uhr
Goto Top
Es geht mir erst einmal nur darum das schnelle auslesen zu verhindern. Das ist zZ das größte Sicherheitsloch. Viele Kollegen lassen die Schüler mal eben für 5 Minuten mit dem Laptop alleine und schon ist es um dem Key geschehen. Eigentlich will ich nur das verhindern...

Wir haben nur einen Router mit einigen APs, einen speziellen Server fürs Wlan haben wir nicht ;)
fisi-pjm
fisi-pjm 03.02.2011 um 16:10:39 Uhr
Goto Top
Dazu müsstest du verhindern, dass sie
a) die Festplatte ausbauen können
?
Beim eigens mitgebrachten Laptop?

b) ein anderes OS starten können
??
Beim eigens mitgebrachten Laptop?

c) eigene Programme ausführen können (da wird es schwierig).
???
Schon mal den Post gelesen?

Kauf dir einen gescheiten Router der WPA2 unterstützt. Aktivier den MAC Adressfilter. Versteck die SSID. Nimm einen Langen Key. Das ist so ziemlich alles was ich einem "Lehrer" empfehlen kann. Alles andere wird zu umfangreich und sprengt deinen zeitlichen Rahmen.
Domain-Jane
Domain-Jane 03.02.2011 um 16:24:07 Uhr
Goto Top
Vielleicht funktioniert es, wenn du den Zugriff auf den Key nur dem
System erlaubst und den Benutzern verweigerst.
Eigentlich sollten Ausleseprogramme die Datei bzw. Regeintrag
nicht mehr öffnen können.
Welches Betriebssystem ist auf den Clients installiert?
brammer
brammer 03.02.2011, aktualisiert am 18.10.2012 um 18:45:44 Uhr
Goto Top
Hallo,

aqui hat dazu ein hervorragendes Tutorial geschrieben.

brammer
dog
dog 03.02.2011 um 18:57:37 Uhr
Goto Top
fisi-pjm:

Es geht darum, dass sich die Schüler an die Schullaptops setzen auf denen der Key gespeichert ist und ihn da klauen und auf ihre eigenen kopieren.
Guten morgen auch.

Schon mal den Post gelesen?

Mit besten Grüßen zurück.

Kauf dir einen gescheiten Router der WPA2 unterstützt. Aktivier den MAC Adressfilter. Versteck die SSID. Nimm einen Langen Key.

Machen wir hier grade lustige Märchenstunde?

Das hilft ja alles sowas von gar nichts, wie bereits hinreichend erläutert.
JochenRichter
JochenRichter 03.02.2011 um 19:52:33 Uhr
Goto Top
Ich habe mir gerade das Tutorial durchgelesen und das trifft es schon ganz gut. Zumindest erleichtert es mir die Pflege des Wlans und macht es nicht mehr so anfällig.
Vielen Dank! Ich berichte obs geklappt hat!
LG
Jochen
spacyfreak
spacyfreak 03.02.2011 um 19:57:03 Uhr
Goto Top
Mann, Mann, ich dachte ihr seid PÄDAGOGEN!
Würde mir von so nem Rotzbengel nicht ungestraft den WPA KEY mopsen lassen.
Eltern anrufen - bei Widerholung gibts Schulverweis.

Ansonsten - es gibt 802.1X Authentisierung, da wird automatisch st#ändig der wpa key gewechselt und man muss ich anmelden bzw. geht mit windows auch automatisch mit anmeldedaten je nach vorhandenen gegebenheiten und knowhow.
Xerebus
Xerebus 04.02.2011 um 08:56:01 Uhr
Goto Top
Ja ne ist klar.
Woher willste denn wissen wer von den schülern den Key geklaut hat?
Das der nach ein paar stunden komplett die runde gemacht hat ist ja klar....
maretz
maretz 04.02.2011 um 09:18:12 Uhr
Goto Top
Und genau da liegt das Problem. Das sind Pädagogen -> und keine Techs. D.h. es fängt ja damit an: Wie finde ich überhaupt raus wer den Key nutzt? Es mag ja ggf. an der Firewall auffallen das grade 100 Rechner online sind - obwohl nur 10 Rechner im WLAN sein dürften -> aber wie man rausfindet wer das grad ist usw. fällt da schon schwer.

Ich würde allerdings bei sowas im Zweifel dann halt mal nen Tech kommen lassen und den das einrichten lassen. Denn mit Halbwissen wird man da nix - die Jungs haben nunmal 7 Tage die Woche Zeit sich darüber zu Informieren wie man sowas umgeht (und sind dabei teils wirklich kreativ!). Da bringt es dann schon was wenn man jemanden holt der das jeden Tag beruflich macht - weil man da schon einiges an Erfahrungen gewinnt... Und sei es das man sagt: Geht doch ins WLAN - mir egal. Ihr kommt nur nicht bis zur Internet-Leitung weil die Firewall davor schon was macht...
spacyfreak
spacyfreak 04.02.2011 um 09:37:22 Uhr
Goto Top
WER das WLAN benutzt kann man anhand der MAC-Adresse des Client WLAN Adapters sehen die der WLAN Router ja anzeigt.
Ja, die kann man auch ändern, doch die meisten werrden sich die Mühe erst garnicht machen bzw. wissen eventuell garnicht was eine MAC-Adresse ist.

Wozu gibts Elternabende? macht das zum Thema.
Klar KANN man das auch techn. lösen - doch wo bleibt die ERZIEHUNG?
dog
dog 04.02.2011 um 09:55:02 Uhr
Goto Top
Erziehung kannst du hier streichen.
Es gibt keine Möglichkeit irgendeinem Schüler nachzuweisen, dass er es war - so schlau sind die auch.

Selbst wenn ich die MAC-ID auf einen AP eingrenzen kann sind das noch 3+ Klassenräume a 30+ Schülern.
Soll man jetzt mal Alle zwingen das Handy (das sie rechtlich ja ohnehin nicht dabei haben dürfen) / Laptop rauszuholen und sich die MAC-IDs von 90 Geräten angucken?
Und wenn man das gemacht hat bleibt immer noch die Möglichkeit, dass einer schlau genug ist und wem anders was auswischen möchte und seine MAC-ID auf die eines anderen Schülers ändert, ein paar "böse Seiten" aufruft und dann wieder zurück ändert.

Und was Elternabende angeht:
"If you want something to get done, do it, hire someone to do it, or forbid your kids to do it."
maretz
maretz 04.02.2011 um 09:56:45 Uhr
Goto Top
Gut - dann hast du ne MAC-Adresse. Und ich renne in der Schule mit meinem iPhone rum - wie findest du mich jetzt? Mein Gerät hat ne IP und ne MAC - aber ohne weitere Kenntnisse bleibe ich für dich auch ohne MAC-Spoofing u.ä. nicht aufzufinden. Selbst der Netzwerkname "iPhone_234kkk" würde dir ja nicht helfen (sofern ich nicht im Netzwerk nen Namen "vorname.nachname" wähle - und selbst damit hast du noch KEINE Berechtigung das du dir mein Telefon aushändigen lässt um das zu prüfen - schließlich kann jeder das Gerät nennen wie er will...)

Und Elternabende? Du beliebst zu scherzen, oder? Himmel - die Eltern sind meistens froh wenn die überhaupt noch wissen was die Kids am Computer machen (so die nicht grad selbst in dem Bereich arbeiten). Jetzt kommst du als Lehrer mit bestenfalls mittelmäßigen Wissen daher und willst Leuten die noch weniger davon verstehen erklären das "irgendwelche Kinder" da ständig das Netz unerlaubt nutzen. Erkläre doch mal denen was nen WEP-Key ist und warum es nicht erlaubt ist das die Kiddys da das Internet mitnutzen.... Viel Erfolg... Ganz ehrlich: Wenn die Eltern sich auskennen würden - glaubst du das die Abmahn-Anwälte heute derart gute Geschäfte machen würden? Ich würde meinem Zwerg (if any...) schon erklären das eine Filesharing-Anwendung bzw. der Download von Musik/Filmen keine so gute Idee ist -> weil ich selbst keine Lust habe da die Strafe zu zahlen. Nur mal zum darüber nachdenken: Wenn die Eltern so fit sind - wieso hast du heute diese "Bashing-Videos" auf den Mobil-Telefonen? Ich glaube das es wenig Eltern gibt die Stolz drauf sind wenn das eigene Kind grundlos andere angreifft - nur finden die solche Videos nicht...

Und nochwas zum darüber nachdenken: Je nach Schule (Standort, Bildungsniveau,...) hast du ab und an schon das Problem das die Eltern kaum die Sprache verstehen - sondern Kinder da mit zum Übersetzen im Elternabend sitzen. Und JETZT kommst du mit "Erklärt das den Eltern"...
spacyfreak
spacyfreak 04.02.2011 um 12:06:19 Uhr
Goto Top
Zitat von @maretz:

Und Elternabende? Du beliebst zu scherzen, oder? Himmel - die Eltern sind meistens froh wenn die überhaupt noch wissen was
die Kids am Computer machen (so die nicht grad selbst in dem Bereich arbeiten).

Ich habe 3 Kinder, die haben weder Handy noch PC.
Wenn man den Kidds jeden ### ins Kinderzimmer stellt muss man sich nicht wundern wenn man nicht weiss
- was sie für Filme ansehen
- was für Spiele sie spielen
- was sie im Internet so treiben
maretz
maretz 04.02.2011 um 12:29:16 Uhr
Goto Top
Moin,

aber dann wirst du auch wissen das es heute nicht ungewöhnlich ist das die eben genau das schon haben... Und das eben da dann oft genug Probleme mit entstehen - und die kann die Schule nun wirklich nicht mehr beheben...
Asarius
Asarius 05.02.2011 um 15:10:58 Uhr
Goto Top
Ihr müsst dazu bedenken das man über die Eingabeaufforderung in das Dos- System kommt (weiß nicht wie das bei mac aussieht) aber darüber lassen sich alle IPs auslesen egal was ihr macht und dann geht der Spaß richtig los dann fangen die Schüler an sich gegenseitig die PCs abstürzen zu lassen usw. ihr habt nur dann eine Chance wenn ihr ein Programm findet, welches ganz klar definiert das die Schüler z.B. nur Firefox Word usw. nutzen dürfen weder die Eingabeaufforderung noch den Editor.
Dies wird aber wieder heftig wenn zu viele PCs da sind.
Einfachste lösung (hier spricht der Schüler in mir) seht zu das ihr eine Bessere Internet- Verbindung bekommt.
Allerdings habe ich auch von einem Router gehört der sich IPs merkt. Soll heißen wenn ein Laptop mit einer IP angemeldet ist, kann sich kein andere mehr damit einwählen.
Eure Schüler werden ja warscheinlich nur die letzte nummer ändern, das bringt ihnen dann aber nicht mehr.
Heißt wenn sie mit ihrem Handy oder eigenem Laptop über den Router ins Internet wollen müssen sie die IP vollständig von einem eurer Laptops übernehmen, welcher sich selbst dann aber nciht im Internet befinden kann.
Hoffe das hilft euch weiter face-smile
Asarius
Asarius 05.02.2011 um 15:14:32 Uhr
Goto Top
Achja bevor ich das Vergesse mein Berufsschullehrer sagt immer: "Pedagoge heißt Freund des Schülers"
denkt mal drüber nach befor ihr uns Verurteilt.
Im übrigen Handys sind kein ###!!!
Und noch ein schöner Spruch den ihr euren Schülern sagen könnt wenn ihr wollt (finde das passt gerade)
"Wenn du bis zum Hals in ###e steckst, dann lass den Kopf nicht hängen"
So das wars jetzt aber.
Wünsche euch noch viel Spaß und lasst euch nicht unterkriegen!! face-smile
goscho
goscho 05.02.2011 um 15:55:01 Uhr
Goto Top
Zitat von @spacyfreak:
Ich habe 3 Kinder, die haben weder Handy noch PC.
Wow, lebt ihr im Wald oder sind die Kinder noch im Vorschulalter?
Wenn man den Kidds jeden ### ins Kinderzimmer stellt muss man sich nicht wundern wenn man nicht weiss
- was sie für Filme ansehen
- was für Spiele sie spielen
- was sie im Internet so treiben
Ich habe auch 3 Kinder, 2 davon mit eigenen Handys und PC/Notebook und trotzdem weiß ich, was sie für Sachen damit machen.
Beim 3. Kind bin ich immer noch am PC dabei. Ist halt noch nicht in der Schule. face-wink

Du darfst nicht immer von dir auf andere schließen. face-sad
DerWoWusste
DerWoWusste 05.02.2011 um 17:34:20 Uhr
Goto Top
Das ist ja schon fast 'ne Talkrunde geworden...

Also: den Key kann man nicht ohne Weiteres auslesen, wenn man das windowseigene wireless Management benutzt (denn Microsoft denkt entgegen der Annahme vieler mit).
Wer Adminrechte hat, kann (selbst probiert auf xp sp3) den Schlüssel im Hex-Format auslesen und evtl. nach ASCII wandeln (gelang mir jedoch mit hex2ascii nicht). Ohne Adminrechte zeigt mein Tool http://www.nirsoft.net/utils/wireless_key.html nicht einmal einen Key an.

Ich schätze, wenn Ihr von 3rd-party-management auf von Windows gemanagte Verbindungen umstellt, ist das Problem gelöst.
Heysel
Heysel 05.02.2011 um 17:45:10 Uhr
Goto Top
Hi

ganz einfach,

Variante 1
vorausgesetzt ihr habt ne MS Domäne im Einsatz. Setz ne Frontend Firewall auf (früher ISA). Dort regelst du dann den Internetzugriff über die ADS User das ist nicht knackbar. Die schüler können dann zwar vieleicht ins WLAN aber da die ISA nur bei einem Autorisierten ADS Benutzer Packete ins Internet weiterleitet bringt denen das garnichts. Wenn du dann auch noch die Dateifreigaben auf einem Eventuellen Lehrer Server mit Sichereitsgruppen regels brauchst du keine Angst zu haben das dir irgendwer was Klaut.

Variante 2

Setz nen Radius Server ein und mach ne Netzwerkauthentifizierung Zwischen WLAN Netz und eigentlichem Netz. Damit verhinderst du dann auch das die schühler überhaupt ins eigentliche netz kommen. Die kommen dann zwar bis zum AP aber der sagt dann Ne du bist nicht der passende ADS Benutzer du kommst hier nicht rein"


Das ist zwar alles leichter gesagt als realisiert, aber das sind die methoden die wir bei Firmenkunden auch einsetzen.


Gruß

Floh
Arsimael.Inshan
Arsimael.Inshan 07.02.2011 um 12:46:29 Uhr
Goto Top
Warum die Schüler abhalten? Nehmt ihnen einfach den Reiz.

Richtet ein Wlan für die schüler ein, und versteckt das für die Lehrer. Danach wird das Schüler-Wlan auf Modem-geschwindigkeit gestellt und es kommt ein Proxy mit webfilterung rein.
Die SChüler verlieren die lust weil
1. Zu langsames internet und
2. Kontrolliertes und evtl zensiertes internet.

Und bei den Lehrern sag ich nur: Windowstaste +L beim verlassen des Rechners, Schüler haben nichts an Lehrerpcs verloren. Und wenn ihr Schul-PCs habt: verkabelt die einfach.
subnetworker
subnetworker 07.02.2011 um 21:43:43 Uhr
Goto Top
Hallo in die Runde.!
Lustig - ich hab die Erfahrung gemacht, wenn man s den Kids schwerer macht finden die auch einen Weg. Ich mein, wann haben die denn Zeit auf dem WLan
zu tackern? Dann eben ein Zeitprofil auf dem Router einrichten, MAC Filter für die, die dann dürfen -weil die seh ich dann ja im Zeitfenster........oder aber ein Unternehmen
beauftragen die dann für richtig Euronen ne Bank aus der Schule machen.
Oder so nen richtig geilen Störsender via CSI.........*gg*

Liebe Grüße

subnetworker
DerWoWusste
DerWoWusste 07.02.2011 um 23:19:41 Uhr
Goto Top
wenn man s den Kids schwerer macht finden die auch einen Weg
Nee, mit der Einstellung kannst Du nichts werden. Wenn das so wäre, könntest Du gar kein Rechtekonzept aufziehen. Natürlich spornt man sie an, aber die kochen auch nur mit Wasser und wo ohne Adminrechte nichts zu holen ist, kommen sie nicht weiter.

Ich hab eine einfache Lösung aufgezeigt, so lange die keinen Bug aufweist, ist die wasserdicht (zumindest bei wpa2) und braucht keinen Radius oder Ähnliches.
Sobald aber die Lehrer das Kennwort irgendwo eingeben, spannert natürlich ein Schüler über die Schulter, das ist mir auch klar. Aber diese Eingabe muss ja nur einmalig bei der Einrichtung gemacht zu werden, da braucht kein Schüler dabei zu sein.
maretz
maretz 08.02.2011 um 08:50:26 Uhr
Goto Top
Klar hast du recht - die suchen sich immer einen Weg. DAS ist auch nicht die Frage. Dagegen kann man auch nicht nur mit purer Technik ankommen. Man kann aber durch Technik (wenn es vernünftig gemacht wird) die Hürden schon sehr hoch legen. Und diejenigen die dann diese noch nehmen können - die kann man dann explizit raussuchen und die notfalls mal vor der Klasse ansprechen. NICHTS ist solchen Kiddys peinlicher als vor der gesamten Klasse gesagt zu bekommen das die doch nich sooo cool sind wie die immer behaupten.
brammer
brammer 08.02.2011 um 09:08:30 Uhr
Goto Top
Hallo,

die Schüler die es trotz der genannten Schutzmassnahmen schaffen die Hindernisse zu umgehen würde ich nicht vor
der Klasse bloß stellen sondern in eine Computer AG einbeziehen und deren Wissen und die Kenntnisse nutzen.
Sie bloß zu stellen führt wahrscheinlich eher zu einem bockigen Verhalten.
Das will wohl kein vernünftiger Lehrer!

brammer