Trådløst nett på skole

[erlber]

Scenario: En skole ønsker å tilby elever tilgang til trådløst nett, men lurer på følgende: Det er en del betong og konstruksjoner, er det nødvendig med mange accesspunkter på et typisk lokale som en litt stor skole er?

 

Skolen er redd for misbruk av det eventuelle trådløse nettet for folk som bor rett utenfor skolen. Effektiv måte å skjerme dette på?

[johanlo]

Jeg bor selv i en betongblokk, og jeg må sitte i samme rom som aksesspunktet for å kunne bruke nettet.

 

Ved å bare godta registrerte MAC-adresser vil nettet ikke kunne brukes utenifra (dvs. hvis MAC-adressen ikke er registrert). I tillegg bør selvfølgelig kryptering brukes.

[covah]

Det er lett å sniffe til seg hvilke MAC addresser som er aktive, og deretter lure nettet til å tro at DU har en av disse. Det aller beste er å sette opp en VPN innlogging, slik at folk er nødt til å logge seg på for å få tilgang til nettet.

[johanlo]

Det er lett å sniffe til seg hvilke MAC addresser som er aktive, og deretter lure nettet til å tro at DU har en av disse. Det aller beste er å sette opp en VPN innlogging, slik at folk er nødt til å logge seg på for å få tilgang til nettet.

 

Jeg tror nok at blaningen mellom MAC og betongvegger gjør til at man kan kalle nettverket for sikkert med hensyn på tulinger som sitter på utsiden og stjeler båndbredde.

 

EDIT: skriveleif

[mascot]

Mange aksesspunkt

Ingen kryptering (hvor hemmelig er en nøkkel når alle elevene på skolen kan den?)

Ingen sikkerthet MAC-nivå.

VPN: Alfa Omega!

[Orjanp]

Ingen kryptering (hvor hemmelig er en nøkkel når alle elevene på skolen kan den?)

Selvsagt skal ingen andre enn it-ansvarlig vite krypteringsnøkkelen. I tillegg til de to som er nevnt kan man også disable ssid brodcast. Det vil også hjelpe litt.

 

Men er det noen som virkelig vil inn så klarer dem det. Men nå begynner det å kreve litt jobb.

[alt]

sitter akkurat nå på skolen her har vi trådløst internett i hvert datarom og noen klasserom. hele byggningen er av betong så du må nok ha et i hvert klasserom. og MAC-kryptering ordner sånn at bare skolen kan komme inn. i tillegg kommer betongen inn her. den fungerer nesten som en sperre. her på skolen merker vi ikke singnalene fra naboklasserommet! og det er en veldig tynn vegg.

[Kenny000]

På vår skole får man ikke tilgang til det trådløse nettverket før man tar sin bærbare datamaskin med til kontoret for it-guttene. Da registrerer de maskiner (eller noe) så kan man bruke nettverket.

[covah]

På vår skole får man ikke tilgang til det trådløse nettverket før man tar sin bærbare datamaskin med til kontoret for it-guttene. Da registrerer de maskiner (eller noe) så kan man bruke nettverket.

 

Det er sikkert MAC addressen de registrerer. Som sagt tidligere, er dette veldig lett å komme rundt.

[Orjanp]

På vår skole får man ikke tilgang til det trådløse nettverket før man tar sin bærbare datamaskin med til kontoret for it-guttene. Da registrerer de maskiner (eller noe) så kan man bruke nettverket.

 

Det er sikkert MAC addressen de registrerer. Som sagt tidligere, er dette veldig lett å komme rundt.

Ja, og så legger de inn krypteringsnøkkel og ssid.

[mascot]

Ingen kryptering (hvor hemmelig er en nøkkel når alle elevene på skolen kan den?)

Selvsagt skal ingen andre enn it-ansvarlig vite krypteringsnøkkelen. I tillegg til de to som er nevnt kan man også disable ssid brodcast. Det vil også hjelpe litt.

 

Men er det noen som virkelig vil inn så klarer dem det. Men nå begynner det å kreve litt jobb.

 

Når det er elevene som skal ha tilgang til nettet hjelper det jo ikke at bare it-ansvarlige som kan WEP-nøkkelen.

Elevene vil jo også få vite SSID'en, så dette vil heller ikke hjelpe så veldig mye.

[Orjanp]

Ingen kryptering (hvor hemmelig er en nøkkel når alle elevene på skolen kan den?)

Selvsagt skal ingen andre enn it-ansvarlig vite krypteringsnøkkelen. I tillegg til de to som er nevnt kan man også disable ssid brodcast. Det vil også hjelpe litt.

 

Men er det noen som virkelig vil inn så klarer dem det. Men nå begynner det å kreve litt jobb.

 

Når det er elevene som skal ha tilgang til nettet hjelper det jo ikke at bare it-ansvarlige som kan WEP-nøkkelen.

Elevene vil jo også få vite SSID'en, så dette vil heller ikke hjelpe så veldig mye.

 

For å få tilgang til nettet må elevene innom it-ansvarlig. Der legger it-ansvarlig inn wep nøkkelen. I windows lagres den ikke i klartekst, slik at det ikke er mulig å lese hva wep nøkkelen faktisk er. Wep nøkkelen er nå lagret på maskinen slik at det er mulig å få tilgang til nettverket. I Linux lagres den imidlertid i klartekst. Derfor bør kanskje ikke linux klienter få tilgang.

 

At elevene vet ssid er en ting, poenget er at ikke hvem som helst skal kunne scanne og automatisk finne ssid. Ikke vanskelig å komme utenom, men lager litt mere arbeid for den som vil inn.

 

Det må selvsagt skrives en avtale mellom bruker og skole der bruker skriver under på at all informasjon skal hemmeligholdes.

[mascot]

WEP-koden kan enkelt hentes ut der det er stjerner istedenfor tekst. (passordfelt)

 

Det finnes program som hvem som helst kan laste ned fra nette. Dette leser hva som står i slike tekstbokser.

 

Ja, det beskytter noe, men i bunn og grunn er VPN det eneste som duger. Her har man full oversikt/logg om hvem som har gjort eventuellt hærverk

[Lufen]

WEP-koden kan enkelt hentes ut der det er stjerner istedenfor tekst. (passordfelt)

 

Det finnes program som hvem som helst kan laste ned fra nette. Dette leser hva som står i slike tekstbokser.

 

Ja, det beskytter noe, men i bunn og grunn er VPN det eneste som duger. Her har man full oversikt/logg om hvem som har gjort eventuellt hærverk

 

tror ikke det da eleven bare gir ut passord og alt

så det enkleste er wep og ssid plus at man må tenke på hvor intresant det er å bruke en skoles internett?

eller nettverk til å gjøre hærverk?

ellers kan jo it ansvarlig bare sørge for å holde signalet inni byggningen og ikke utafor og så bruke mac registrering

[covah]

WEP tar 2 minutter å knekke. SSID og MAC kan man lett sniffe seg til. Det ENESTE som er nogenlunde sikkert, er VPN.

[Orjanp]

Selvsagt er ikke det spesiellt vanskelig å komme utenom de hindrene. Men det er ikke norges bank det her er snakk om. Det var aldri en diskusjon om hva som var sikkrest, men hva som er sikkert nok for en skole. Ved bruk av wep kryptering, disable ssid brodcast og mac filtrering, i tillegg til fornuftig plassering av basestasjonene, slik at signalet er dårlig utenfor skolens vegger, er dette sikkert nok for å gi elever tilgang til internett.

[alfern]

Her hos oss bruker vi en USG (Universial Subscriber Gateway) med både MAC-filtrering og SSL pålogging. Man kan også begrense hvilke sider studentene skal få tilgang til.

 

Vi har 7 baser på en passelig stor skole, alle med 2 veis antenner, og dekningen er god over stort sett hele skolen, som forøvrig har en del murvegger.

[Neptyr]

Alt sammen med VPN, mac, SSID osvosv, det er søte tanker, men sett det ut i live, når skolen har en 130 bærbare med forskjellige mac adresser, og med stein stokk dumme lærere/elever. Prøv å lære dem til å putte i en wepkey, eller logge på med vpn på hver maskin. Ta brukernavn og passord, elever har ABSOLUTT ingen respekt for sitt eget passord, så de blir spredt på 10 sek.

 

Her på skolen har vi ca 130++++ bærbare og en 400 stasjonære, vi kjører XP som client, og 2k servere. Vi har 2 wl410 sendere 2wl 400 sendere og 3 wl520 (alle fra compaq), disse rekker over store deler av byggene våre, men vi har et stort problem, kanal seperasjon, vi får ikke stilt senderene til å være langt nok fra hverandre i kanalene, noe som resulterer i packetloss og dårlig speed. noe som er katastrofalt ødleggende for fart i Wlan'et. For selv om de er svake signaler som kansje slipper igjenom murbygningen, så kan det ødlegge ufattelig mye :/

 

Mitt råd ville være å kjøpe noen kraftige baser, som kan håndtere flere brukere, kjøpe noen omni(rundstråle)/sektor antenner, og få til no automatisert fra serversiden, for det skal gå å få serverene til å putte inn wepkey mener jeg på, og du kan og får serverene til å bytte wepkey hvert 2min osvosv. Alt dette skulle funke under domenet, som seff kun administrator eller en egen bruker har lov til å melde inn folk i. da har du det sikkreste nettverket vil jeg tro

 

(unnskyld meg om jeg skriver rotete... JEG ER TRØTT! )

 

hvis noe er utydelig eller lignende, bare få meg til å forklare dypere =)

[petterg]

Har ikke prøvd dette selv, men hørte en gang at de hadde gjort "no' sånt" hos et firma.

På en eller annen måte måtte alle PC'r som skulle ha tilgang på firma nettet være medlem av et domene. Domenet var passord beskyttet. Får å komme inn på domenet måtte system administrator sette opp hver enkelt PC med domenenavn og domenepassord.

I tillegg mått hver enkelt bruker logge seg inn med brukernavn og passord. (I innlogging kan man velge om man vil logge på domenet eller bare lokalt, så man kan bruke maskina selv om man ikke er på skolen.)

 

På denne måten skulle det være mulig for skolen å holde kontroll på hvilke maskiner OG personer de slipper inn på nettet.

 

Kan noen med litt erfaring på drift av domeneservere fortelle litt mer om dette?

 

-pg

[Neptyr]

Det er på akkurat den måten her nå, men du har tilgang til alt annet en serverene nå :/

 

Skulle gjerne sikkra det litt mer, slik at jeg vi ikke trengte å bekymre oss for elever som bare dytter pluggen i veggen til laptopen sin med 91827391827391287398123 hackeprogrammer, virus osvosv.. finnes like mange n00bs som ikke kan noe, mens syns programet som Ethercap osvosv er gaaanske så morsome, men de ødlegger uten å vite hva de gjør. :/