ingobar
Goto Top

WLAN und LAN für Schüler mit Authentifizierung

Guten Morgen zusammen,

wir möchten den Schüler in unserer Schule einen Arbeitsraum einrichten. Dieser soll über Funknetz und LAN laufen, so dass festinstallierte Computer aber auch eigene Laptops und iPhones benutzt werden können.

Alle Computer der Schule sind schon in einem Schulnetzwerk eingebunden und jeder Schüler verfügt über einen Account. Meldet er sich an einem Computer an, bekommt er seine Dateien zugeordner etc.

Im Arbeitsruam brauche ich aber mehr Kontrolle: Wer macht was und wann im Internet. Mit welcher Art von Router kann ich das angehen? Welche Technik muss ich verwenden? Ich hätter gerne, dass der Router erst nach Eingabe des Account-Username+Passwort das WLAN für eine Schüler freigibt. Brauche ich da einen Radius-Server, der beim Schulserver nachfragt, ob der User exisitiert und die entsprechenden Erlaubnis hat? Was muss der Router können, damit entsprechechende Protokolle mit laufen (IP, Benutzername, Zugriffe)?

Vielleicht kennt ja jemand eine Anleitung für ein solche Hardwarekonstellation oder kann mir die entsprechenden Schlagwörter nennen.

Vielen Dank schon mal,

ingo

Content-ID: 144632

Url: https://administrator.de/forum/wlan-und-lan-fuer-schueler-mit-authentifizierung-144632.html

Ausgedruckt am: 22.12.2024 um 23:12 Uhr

adminst
adminst 11.06.2010 um 09:27:33 Uhr
Goto Top
Hallo
Ich weiss ja nciht was du für eine Infrastruktur schon hast...
Aber da ich ein Linuxanhänger bin, würde ich davor ein IPCOP http://sourceforge.net/apps/trac/ipcop/wiki setzen.
Mit folgenden Erweiterungen:
URL Filter addon: http://www.urlfilter.net/
Advanced Proxy: http://www.urlfilter.net/
WLAN Addon http://www.ban-solms.de/t/IPCop-wlanap.html

Die Installation ist relativ einfach und die Installation der Addons ist einfach und gut Beschrieben.
Nachher kannst du alles über Web-Gui steuern.

Somit hast du eine flexible Appliance und hast die Kiddies im Griff face-wink

Gruss
adminst
nEmEsIs
nEmEsIs 11.06.2010 um 09:33:07 Uhr
Goto Top
Hi

Also ich würde das mit einem Squid (Proxy) realisieren, da an deiner Schule sicher auch minderjährige Schüler sind die man laut Gesetz vor gefährlichen Inhalten schützen muss.
Jugendfilter, Statistiken, Portsperrung, Authentifizierung etc. kann der Squid alles. Er ist kostenlos man muss sich nur ein wenig mit Linux auseinander setzen. Das einzige was an kosten anfällt ist ein Rechner/ Server und das wars. Es ist die kostengünstigeste Variante.

Den Squid kann man so konfigurieren, dass es ein Zwangsproxy ist, der im Browser nach Benutzernamen und Kennwort fragt und man ihn mit der Domain verbindet, dass er die Benutzerinfos und Pw´´s von dort bezieht.

Also einfach mal mit Squid beschäftigen.

MFG Nemesis
dave114
dave114 11.06.2010 um 09:50:27 Uhr
Goto Top
morgen,

... Er ist kostenlos man muss sich nur ein wenig mit Linux auseinander setzen.

jap kostenlos und sehr zu empfehlen face-wink

Du musst dich noch nicht mal wie nEmEsls geschrieben hat mit Linux beschäftigen, sondern kannst ihn auch auf einen bestehenden Windows (Server) packen.

mfg
David
nEmEsIs
nEmEsIs 11.06.2010 um 09:54:03 Uhr
Goto Top
Hi

Okay dave 114 aber auf Linux ist es schöner face-smile

Nee du hast recht ich hab gerade mal wieder verdrängt das es den Squid für Windows ... auch gibt.
Aber wer weiß wie gut seine Schüler im knacken sind face-smile sonst sind es nachher auf dem Windowsserver face-smile.
Voralllem würde ich die Netzwerke trennen. Eine Ip Range für Privatgeräte ist sicher zu empfehlen, da du dir nie sicher sein kannst, was die so draufhaben...
Sprech aus Erfahrung.


Mfg Nemesis
dave114
dave114 11.06.2010 um 10:01:19 Uhr
Goto Top
jaja immer dieses Schüler die sonst nichts zu tun haben face-wink
dog
dog 11.06.2010 um 10:05:32 Uhr
Goto Top
Squid ist erstmal ein ganz anderes Thema, das kommt nach WLAN.

Du musst dich erstmal zwischen Captive Portal oder 802.1x entscheiden.

Captive Portal:
+ Funktioniert mit praktisch jedem WLAN-Client
+ Für jeden User leicht verständlich
- Keine Verschlüsselung möglich, also relativ unsicher

802.1x:
+ Zusammen mit WPA2 relativ sicher
- Auf Windows-Clients die Hölle bei der Einrichtung

Einen RADIUS-Server brauchst du in beiden Fällen.
ingobar
ingobar 11.06.2010 um 10:38:18 Uhr
Goto Top
Wow, danke für die vielen Infos.

Vielleicht noch weitere Infos zur Hardware: Ich habe eine 10.4.11 OSX Server mit SQUID laufen. Und spiele mit dem Gedanken noch einen weiteren Internetfilter vor den Schulserver zu hängen: http://time-for-kids.de/home/ Aber da wird dann halt alles gefilter, was wenig Sinn macht. Denn die Lehrer seollten dann ja schon alles anschauen können.

Dann ist das Problem, dass der Filter bei uns nicht nach Usern geht sondern nach Hardware. Lehrer-Computer haben eine IP aus einem anderen Subnetz als die Schülerrechner.

Meine Support-Firma war damals der Meinung, dass eine solche Vorgehensweise besser ist. Und bislang hat das auch gut funktioniert. Allerdings hat diese Konfiguration den Nachteil, dass ich nicht protokollieren kann, wer was gemacht hat.

Ich war zB schon am Überlegen an den bestehenden Router vor dem Schulserver den time-for-kids-router zu hängen, da dieser besser filtert. Und an diese Filter wiederrum einen Router, der das Authentifizieren übernimmt. Eventuell muss ich dann dort noch von Hand eine Server aufziehen, dann müsste ich die erlaubten Schüler zwar nochmals eintragen und hätte damit doppelte Buchführung, allerdings kann ich vorher auch die Eltern nach ihrer Erlaubnis fragen.

Was meint ihr dazu? Macht das Sinn? Gibt es einen WLAN-Router, der die entsprechenden Nutzerverwaltung gleich beinhaltet?

Vielen Dank,

Ingo
aqui
aqui 11.06.2010, aktualisiert am 18.10.2012 um 18:42:29 Uhr
Goto Top
Captive Portal ist in der Tat generell der richtige Weg für eine Schule !!!
Wie man sowas einfach und kostenneutral für eine Schule umsetzen kann sagt dir en Detail dieses Tutorial:

WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)

Kann man natürlich auch noch mit einem Radius Server koppeln wenn man es denn unbedingt will !! Wie das geht sagt dir dies Tutorial:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Du kannst auch beides kombinieren und die CP Abfrage über Radius machen. Meist ist das aber verwaltungstechnisch Overkill für eine Schule.... musst du aber entscheiden ! (Siehe Statement von dog oben !)
mrtux
mrtux 11.06.2010 um 14:32:25 Uhr
Goto Top
Hi !

Zitat von @dog:
- Keine Verschlüsselung möglich, also relativ unsicher

Wobei ich aber noch anmerken dürfte, dass das Wort "unsicher" eher für nicht abhörsicher zu verstehen ist, denn man könnte die Loginseite des CP auch per "https://" realisieren, dann würden zumindest die Logindaten nicht mehr im Klartext übertragen, was aber die Sache dann wieder etwas "umständlicher" gestaltet. Stichwort: Zertifikate.

mrtux
dog
dog 11.06.2010 um 14:46:16 Uhr
Goto Top
Ich bezog mich mit "unsicher" auch auf die Möglichkeit des Session-Hijackings, da schon die MAC-ID reicht um eine aktive Session zu klauen. face-smile
mrtux
mrtux 11.06.2010 um 17:51:48 Uhr
Goto Top
Hi !

Zitat von @dog:
Ich bezog mich mit "unsicher" auch auf die Möglichkeit des Session-Hijackings, da schon die MAC-ID reicht um eine
aktive Session zu klauen. face-smile

Stimmt aber "Da drüben steht ein Mädchen und Du verrätst unsere besten Tricks..." face-wink

mrtux