Appliquer les conséquences pour les étudiants trouvés sur le réseau

La première chose que vous devez faire est de vous assurer que vous disposez d'une politique écrite décrivant les appareils autorisés sur le réseau. Cependant, si vous n'êtes pas cohérent dans l'application de votre politique, cela ne sert à rien.

Cela devrait également couvrir les politiques d'utilisation des enseignants, y compris le verrouillage de leurs ordinateurs lorsqu'ils ne sont pas présents sur la machine. Vous pouvez également utiliser la stratégie de groupe pour empêcher les utilisateurs de voir le mot de passe Wi-Fi.

Mesures techniques

Voici différentes options permettant de limiter l'utilisation des appareils des élèves sur le réseau de l'école. Le plus efficace est WPA2-Enterprise. Les autres sont inclus car ils peuvent être suffisamment efficaces pour limiter l'accès non autorisé par les étudiants et, en fonction de votre réseau particulier, peuvent être plus faciles à mettre en œuvre.

Cependant, la question suggère que les étudiants sont sur le réseau principal de l'organisation. Seul WPA2-Enterprise va protéger adéquatement votre réseau contre une attaque d'un appareil non autorisé. Une fois qu'un PSK est connu, un élève a la possibilité de détecter le trafic Web de l'enseignant et éventuellement de capturer des courriers électroniques et des hachages Windows. De plus, un utilisateur malveillant pourrait commencer à attaquer directement d'autres machines.

WPA2-Enterprise

La meilleure solution serait d'implémenter WPA2-Enterprise, au lieu d'utiliser une clé pré-partagée (WPA2- PSK). Cela permet d'émettre des informations d'identification individuelles. Ceci est mis en œuvre en installant des certificats clients sur chaque machine. Cela nécessite un bon peu d'ingénierie et n'est pas trivial à mettre en place dans des environnements plus grands. Cette page contient de bons conseils sur la façon de déployer WPA2-Enterprise.

Captive Portal

Comme @Steve Sether l’a mentionné, le portail captif Chillispot peut être utilisé pour authentifier les utilisateurs une fois qu’ils se sont connectés au réseau. Bien que je n'ai pas de preuves à signaler, je soupçonne qu'un tel portail peut être contourné en usurpant les adresses MAC et IP. Cependant, cela soulève la difficulté et sera plus facile à gérer que le filtrage MAC sur plusieurs appareils.

Filtrage d'adresses MAC

Comme vous l'avez mentionné, les adresses MAC peuvent être usurpées, donc l'efficacité du filtrage d'adresses MAC est limitée. Cependant, de nombreux téléphones empêchent l'usurpation de l'adresse MAC, ce qui résoudra certains des utilisateurs problématiques. L'iPhone, par exemple, doit être jailbreaké avant que l'adresse MAC ne puisse être modifiée. La partie la plus difficile de l'utilisation du filtrage d'adresses MAC va être de gérer la liste des adresses MAC autorisées, en particulier sur plusieurs appareils de différents fournisseurs.

Je dirais également qu'il y a un avantage `` légal '' à utiliser le filtrage d'adresses MAC ou un portail captif. Il peut être difficile de prétendre qu'un utilisateur n'était pas autorisé à accéder à un réseau lorsque le mot de passe est écrit sur un tableau blanc. Cependant, si un utilisateur doit contourner explicitement une restriction de sécurité, vous avez un argument plus solide contre l'activité.

Utilisation d'un proxy Internet pour empêcher les utilisations non autorisées de HTTPS

Implémentez une solution HTTPS qui utilise votre propre clé privée. Vous pouvez installer le certificat correspondant sur les machines de l'organisation et elles ne remarqueront rien de différent (bien que l'organisation doive toujours informer le personnel qu'une interception HTTPS est en cours). Cependant, les appareils non autorisés sans certificat recevront un message désagréable indiquant que HTTPS n'est pas valide chaque fois qu'ils essaieront de parcourir une page sécurisée. De plus, puisque vous décryptez le trafic HTTPS, vous serez en mesure de surveiller le trafic. Par exemple, voir quels élèves se connectent à Facebook vous permettra de vous adresser directement à ces élèves.

De nombreuses implémentations de Content Control offrent la possibilité de décrypter le trafic HTTPS. Si l'école a déjà mis en place un mécanisme de contrôle de contenu (comme Bluecoat ou Net Nanny), demandez à votre fournisseur comment mettre en œuvre cette fonctionnalité.

Vous essayez de résoudre le mauvais problème.

Ils sont des milliers et vous en êtes un. Puisque vous n'êtes pas un expert en sécurité (pour autant que je sache, désolé si je me trompe) et qu'ils ne le sont pas non plus mais qu'ils sont une horde, vous êtes juste condamné à perdre si vous menez une guerre classique.

@AviD a donné une excellente réponse dans un commentaire:

Voici une idée non technique: Ceci est une école, droite? Alors éduquez-les. Apprenez-leur l'importance des conséquences, l'utilisation acceptable, l'illégalité du piratage ... et oui, la bonne utilisation d'Internet. Je veux dire, donnez-leur l'accès à un réseau filtré séparé si nécessaire et créez un programme autour de cela. Cours, sécurité sur Internet, strict respect de toute AUP, etc ... Donnez-leur accès au réseau et utilisez-le pour leur apprendre à être de bons citoyens Internet. Et, comment utiliser Internet de manière productive, pour les aider dans leur éducation.

Non seulement vous ne pouvez pas gagner la guerre en les empêchant d'accéder, mais même si vous le faites , vous n’aurez rien accompli: ils ont toujours leurs appareils, ils seront toujours distraits, mais de différentes manières .

De plus, le piratage leur apprendra de la valeur leçons, en "résolution de problèmes", pourrions-nous dire. Si ce n'est pas le genre de problème que vous voulez qu'ils résolvent, trouvez des problèmes meilleurs, plus divertissants ou utiles.

Veuillez noter que, même si c'était faisable (je suppose que non), leur interdire du tout d'apporter les appareils n'est pas non plus une bonne solution: ils doivent apprendre à avoir des appareils à portée de main et ne pas les utiliser, en suivant plutôt la leçon. S'ils n'apprennent pas cette leçon, ils auront à l'avenir le même problème à la fois socialement et au travail .

Enfin, s’ils parviennent à ne pas suivre vos cours tout en obtenant de bonnes notes , le problème se situe peut-être ici. Vos tests sont-ils trop faciles ou trop tricheurs? Vos leçons sont-elles inutiles? C'est le point. D'un autre côté, s'ils échouent aux tests, ils pourraient / devraient réaliser que peut-être que suivre les leçons les aidera à réussir…

Comme DDPWNAGE le souligne correctement:

Nous sommes en 2015, non? À mon avis, les étudiants devraient avoir un accès limité à Internet. Si vous êtes enseignant au lycée, demandez à l'école si vous pouvez enseigner à une classe l'utilisation d'Internet et donner des cours d'informatique de base. Un nombre croissant d'enfants s'intéressent à ces sujets, et un langage de programmation appris au lycée peut plus tard sauver des milliers d'enfants à l'université. Je suis diplômé de HS vendredi prochain et je sors avec un jeu iOS utilisant Objective-C comme logique. Demandez aux enfants de rester sur le sujet, et ils peuvent faire de grandes choses.

Avant que je ne sois flambé par tous ceux qui disent que les iPad n'ont pas de ports Ethernet, c'est simplement une seule couche de «sécurité».

Dans la plupart des cas, les enseignants devraient pouvoir utiliser leurs ordinateurs portables avec un ancien câble physique simple ethernet BASE-100TX CAT5 +.

Vous aurez réduit la surface d'attaque (car les touches ne seront pas allumées les ordinateurs portables du professeur).

De plus, si les élèves avaient accès au CAT5 physique, ce serait plus difficile à exploiter (vous pouvez voir un appareil physique connecté à un câble et la plupart des téléphones n'ont pas de prise RJ45).

Si les mots de passe fuient comme ça, vous pouvez avoir un plus gros problème que de restreindre l'accès Wifi. On dirait que les enfants peuvent faire presque tout ce qu'un enseignant peut faire (y compris manipuler les résultats des examens?) Et le font régulièrement chez vous.

Il semble qu'un peu de formation des enseignants résoudrait cela, après un travail de détective pour affiner la source de la fuite. Il peut s'agir d'un ordinateur ou d'un routeur piraté plutôt que d'une erreur humaine, donc je ne préconise rien de draconien. Je voudrais installer une journalisation, ou donner des mots de passe individuels aux enseignants (temporairement).

Peut-être aussi aider les enseignants à obtenir de l'aide d'un adulte ou à utiliser des comptes invités si un enfant aide?

• Donnez à chaque utilisateur autorisé son propre mot de passe. Ensuite, vous serez en mesure de juger d'où proviennent les fuites (en supposant qu'elles soient fuites plutôt que fissurées). (par exemple, vous pourriez avoir besoin d'éduquer l'un de vos enseignants pour qu'il ne laisse pas le mot de passe écrit sur son bureau).

• Mettre en place des règles de pare-feu strictes qui bloquent l'accès à la plupart Internet. Ne laissez que le strict minimum de sites accessibles. Les étudiants peuvent renoncer à essayer de se connecter si cela ne leur donne pas accès à Facebook (par exemple). Les utilisateurs autorisés peuvent facilement demander le déblocage d'un site s'ils en ont besoin. Le blocage pourrait également être configuré pour s'appliquer uniquement aux connexions sans fil, de cette façon, il ne gênera pas votre personnel administratif qui est à son ordinateur sur son bureau toute la journée sur une connexion filaire.

Envisagez une mise à niveau de l'équipement

Je sais que vous recherchez une solution sans budget, mais un ensemble correspondant de WAP de qualité professionnelle et d'un contrôleur central pourrait permettre de sécuriser le réseau plus facile. Pesez-le par rapport au coût de la défense contre une action en justice pour cyberintimidation ou harcèlement d'un employé, ou pour faciliter la falsification des résultats des tests ...

Utiliser le filtrage MAC

La collecte des adresses MAC vous permet de parler à chaque membre du personnel de vos attentes en matière de sécurisation de leur compte et de leur équipement. Une liste d'adresses MAC, des numéros de série du matériel et d'autres informations sur l'équipement appartenant à l'école est également importante pour prouver que vous n'avez pas été victime de vol.

Faites de DHCP un pot de miel

Attribuez des adresses IP statiques aux appareils des membres du personnel à partir d'une plage gérable, et autorisez-leur tout accès à Internet approprié. Configurez DHCP pour donner des adresses d'une plage différente pour les adresses MAC non reconnues et configurez une redirection DNAT de sorte que la seule chose qu'un utilisateur voit en venant de cette plage d'adresses IP soit une page Web statique avec des instructions pour vous parler:

"Ce réseau est géré par l'école XXX et est réservé à un usage académique autorisé. Si vous pensez voir cette page par erreur, veuillez voir M. McQueen dans la salle XXX."

Appliquer les conséquences

Si les élèves ne sont pas censés avoir un téléphone et un ordinateur portable, appliquez-le. Première infraction, confisquez l'appareil immédiatement, faites venir un parent le chercher. Deuxième infraction, même exercice, suspendre l'élève, comme si un élève était pris avec de la drogue ou une arme. Pour les étudiants qui doivent porter un téléphone pour aller / revenir de l'école (s'il s'agit d'un lycée, ils ont peut-être besoin d'un téléphone pour le travail ou pour se rendre à l'école), faites-les enregistrer à la secrétaire avant le début de la journée scolaire et vérifiez après.

Vous devez renforcer la sécurité humaine, pas la sécurité technique. Le mot de passe WiFi est assez bon, les vraies questions sont " Qui divulgue les mots de passe aux étudiants? " et " Comment les arrêter? ". Vous ne pouvez avoir aucune sécurité si des personnes privilégiées (personnel) partagent leurs identifiants avec ceux que vous essayez de bloquer.

La configuration de mots de passe différents pour chaque personne ne ferait que vous aider pouvoir verrouiller ceux qui révèlent leurs mots de passe. Et puis progressivement apprenez-leur à être plus prudents en employant une procédure de restauration d'accès longue et pénible: D

// edit: Après avoir relu votre question, je me rends compte que vous avez déjà dit comment les mots de passe sont divulgués.

  Certains professeurs ne sont pas du tout à l'aise avec la technologie 

Je peux donc vous proposer des moyens extrêmes:

Alors changez de technologie! Le Wi-Fi est compliqué et déroutant. Remplacez-le par des câbles. Les câbles sont simples et faciles à comprendre: on le branche, les voyants commencent à clignoter et Internet fonctionne. Veuillez comprendre que je ne vous exhorte pas à arrêter physiquement votre Wi-Fi. Je suggère simplement que la plupart des enseignants ne devraient pas l'utiliser directement et n'ont donc pas besoin de connaître le mot de passe.

Si vous ne pouvez pas obtenir de câble quelque part, un simple point d'accès en mode client fournira une prise Ethernet. Avec le mot de passe du panneau d'administration, il sera très difficile de savoir comment ce point d'accès autorise votre réseau Wi-Fi "backbone".

Pour les Chromebooks et les iPad, définissez un Wi-Fi dédié dans la pièce où ils sont utilisé. Vous pouvez changer son mot de passe après chaque cours et annoncer le nouveau au début du prochain cours.

J'utiliserais WPA2-Enterprise, donc tout le monde utiliserait son propre nom et mot de passe, pas seulement un mot de passe, qui est le même pour tout le monde. Pour configurer WPA2-Enterprise, il vous suffit d'avoir un serveur RADIUS. L'opinion la moins chère, je pense, est d'acheter un serveur NAS. Il prend en charge plusieurs choses et RADIUS parfois aussi (je recommande Synology pour cela).

Une alternative consiste à utiliser un système de hotspot pour exiger une connexion, mais tous les routeurs ne le supportent pas et c'est assez cher.

Le filtre MAC et les interruptions DHCP mentionnés ne sont pas la sécurité principale. Il doit avoir enregistré toutes les adresses dans le (s) routeur (s), il n'y a donc pas d'option pour apporter votre propre appareil. La chose suivante est que le filtre MAC et les pièges DHCP sont fissurables en 5 à 15 minutes environ.

Au dernier paragraphe: quelqu'un devrait dire aux professeurs que c'est faux. Bien que vous puissiez configurer le verrouillage de l'appareil après un certain temps d'inactivité et bien d'autres choses, il n'existe aucun moyen efficace d'arrêter de communiquer le mot de passe aux personnes qui ne devraient pas avoir le mot de passe. De plus, ils devraient changer périodiquement les mots de passe.

Mais je vois tout cela de cette façon: il n'y a aucun moyen d'arrêter le pirate (les étudiants), vous ne pouvez que leur rendre le piratage plus difficile.

Configurez un portail captif utilisant la RFC 6238 comme Google Authenticator (GA) ( https://github.com/google/google-authenticator). GA a un module PAM. Demandez à chaque employé d'installer l'application, puis de se rendre en personne à votre bureau informatique pour configurer (synchroniser) son compte avec l'application.

Utilisez le jeton d'authentification comme seul ou deuxième facteur. Si les codes QR ou les secrets sont divulgués, vous êtes de retour au chaos, mais vous devriez pouvoir le contenir.

Vous pouvez également utiliser urQui ( http://urqui.com/web /) au lieu de Google Authenticator

Je vais recommander de faire ce que font la plupart des sources Wi-Fi publiques et exiger une authentification via un site Web avec des noms d'utilisateur et des mots de passe individuels. Utilisez également un mot de passe WPA si vous le souhaitez pour vous protéger contre le reniflement occasionnel.

Ceci est disponible via le routeur gratuit DD-WRT, en particulier via un logiciel appelé ChiliSpot. Vous pouvez ensuite utiliser un fournisseur tiers pour gérer l'authentification des utilisateurs.

ChilliSpot est un contrôleur de point d'accès sans fil ou LAN Captive_Portal open source. Il est utilisé pour authentifier les utilisateurs. Il prend en charge la connexion Web, qui est la norme actuelle pour les HotSpots publics. L'authentification, l'autorisation et la comptabilité (AAA) sont gérées par un fournisseur en ligne ou un service de rayon local que vous fournissez.

Chaque enseignant aurait alors un identifiant individuel. Bien que les mots de passe puissent encore «fuir», vous pouvez facilement changer n'importe quel mot de passe pour un utilisateur puisque le service propose également la comptabilité, et vous trouverez quelle personne est responsable de la fuite du mot de passe. À l'heure actuelle, je suis sûr que le changement de la clé pré-partagée est un problème majeur, car il faut la communiquer à tant de personnes, donc je suppose que vous ne le faites pas très souvent. En outre, la saisie d'un nom d'utilisateur et d'un mot de passe «ressemble» plus à un piratage qu'à un simple partage d'un mot de passe WPA (ce que les gens font tout le temps). Donc, même ce seul changement réduira probablement les abus, même si une connexion individuelle est divulguée.

Je vais déconseiller le filtrage des adresses MAC car c'est un cauchemar de maintenance chaque fois qu'un enseignant souhaite connecter un nouveau périphérique au réseau. Cela pourrait être fait bien sûr, mais cela semble plus difficile que cela ne vaut la peine. De plus, l'usurpation d'adresse MAC est relativement simple, et une fois découverte, ce ne serait qu'une question de temps avant que tout le monde sache comment le faire.

Je suppose que vous avez déjà pensé à l'option "application" et que vous l'avez rejetée pour vos propres raisons. Bien. J'espère que les écoles n'iront pas plus loin et ressembleront plus à des prisons qu'à des lieux d'apprentissage.

Trouvez un moyen de ne pas donner le mot de passe. Je n'ai pas d'expérience avec cet outil, mais SpiceWorks propose un programme gratuit de gestion des appareils mobiles à l'adresse http://www.spiceworks.com/free-mobile-device-management-mdm-software/. Utilisez-le pour distribuer le mot de passe WPA2 à tous les ordinateurs autorisés à se connecter. Si un élève met la main sur l'installateur, cela ne l'aidera pas car vous pouvez le configurer pour que l'appareil soit approuvé avant d'obtenir le mot de passe.

802.1X

IEEE 802.1X est une norme pour le contrôle d'accès réseau basé sur les ports (PNAC) - il fournit un mécanisme d'authentification aux périphériques souhaitant se connecter à un LAN ou WLAN.

Il existe différentes façons de le configurer, vous devrez donc examiner votre équipement et vos besoins, mais un cas d'utilisation typique est si vous avez un MS ActiveDirectory avec tous vos utilisateurs ( personnel) ayant des comptes AD. Vous pouvez ensuite configurer un serveur RADIUS et les utilisateurs peuvent ensuite s'authentifier avec leurs identifiants de domaine normaux pour accéder au réseau.

Voici une stratégie différente. Commençons par supposer ce qui suit:

1. Tout mot de passe que vous donnez aux enseignants fuira tant que les enseignants n'auront aucune motivation pour ne pas partager leurs mots de passe
2. Une fois qu'un mot de passe fuit, il circule largement via le bouche à oreille
3. Il est difficile de faire appliquer / prendre des mesures contre les étudiants qui utilisent des mots de passe empruntés
4. Nous essayons d'arrêter l'élève moyen et non un hacker vraiment motivé
5. Avoir une liste statique de MAC est trop restrictif et peut être usurpé de toute façon
6. Avoir n'importe quelle sorte de liste MAC dynamique fait beaucoup de travail quotidien d'avoir à ajouter des périphériques et en plus cela peut être usurpé de toute façon.
7. Vous ne vous souciez pas vraiment du type étrange ou de la connexion illégitime tant que peu de gars se connectent pour inonder votre bande passante

Maintenant, étant donné tout cela , la seule solution qui correspond à mon cas d'utilisation est un mot de passe qui change fréquemment. Maintenant, certes, cela pourrait être un peu difficile à mettre en œuvre mais pas impossible.

Pensons d'abord à ce qui pourrait fonctionner pour votre cas d'utilisation, puis nous pouvons nous demander comment l'implémenter. Ce dont vous avez besoin, c'est d'un système qui génère un mot de passe avec une expiration. Dites, chaque jour, lorsque quelqu'un essaie de se connecter, vous lui envoyez un code d'accès qui fonctionne pendant 8 heures via un support hors chaîne qui fonctionnerait. par exemple. utilisez un SMS / SMS pour leur envoyer le code d'accès. Les téléphones portables sont omniprésents. Presque tout votre personnel en aura. Du côté positif, le mot de passe n'a pas à être très long et difficile maintenant. Un code numérique à 4 ou 6 chiffres devrait suffire dans la plupart des cas.

Dans ce système, même si un enseignant donne un mot de passe, accidentellement ou intentionnellement, les dégâts sont minimes car le nombre d'utilisateurs illégitimes qui peuvent obtenir le mot de passe en 8 heures est limité. Et le mot de passe n'est plus bon après cela.

En gros, rendez la vie plus difficile pour les méchants.

Si vous voulez aggraver les choses, vous pouvez également faire en sorte que tout code d'accès ne soit valable que pour un seul appareil.

Mise en œuvre: Je ne sais pas comment s'appellent les systèmes, mais j'ai déjà vu cela dans les aéroports (surtout en dehors des États-Unis) et dans d'autres lieux publics. Je dois entrer mon numéro de téléphone portable et accepter les conditions sur la page de connexion qui me s'affiche lorsque j'essaie de me connecter à un réseau WiFi, puis le système m'envoie un message texte sur mon téléphone portable avec le code d'accès nécessaire pour la connexion.

Envoi des messages texte: Avec quelque chose comme Twilio ou les dizaines d'autres API SMS en ligne, l'envoi du message réel ne devrait pas être si difficile. À moins d'un centime par message envoyé, il ne devrait pas surcharger votre budget.

Alternative à la messagerie texte: Utilisez un générateur de code PIN basé sur l'heure comme l'un de ces porte-clés RSA ou même l'authentificateur de Google. Mais programmer ce type de solution et l'intégrer dans votre solution n'est peut-être pas anodin.

Vous abordez le problème de la mauvaise manière et, ce faisant, vous faites de vous-même (et de l'institution en général) l'ennemi. Le corps étudiant est, collectivement, plus intelligent et dispose de plus de ressources. N'oubliez pas non plus pour qui vous travaillez (eux).

Si j'étais à votre place, je prendrais la voie la plus simple - un réseau wifi étudiant complètement ouvert. Oui, vous avez bien lu - pas de restrictions du tout.

La façon dont vous "contrôlez" cela permet de faire savoir que le réseau est surveillé. Et tout trafic «inhabituel» sera affiché sur le site Web de l'école à la vue de tous.

Vous incluez des classes d'âge de l'information, oui? Comment fonctionnent les réseaux, craquage des mots de passe, sécurité de l'information, analyse des arnaques du mois, etc.? Sinon, vous échouez dans votre travail d'éducateur. Nous sommes bien entrés dans le 21e siècle, c'est un savoir requis et un peu plus important qu'une longue division ou la Révolution française. Leurs téléphones font déjà la division.

Le problème humain (ingénierie sociale)

Vous avez des enseignants qui distribuent des mots de passe aux élèves avec désinvolture. Le premier groupe dont vous avez besoin pour vous renseigner sur l'utilisation du réseau est celui de vos enseignants. Sinon, d'autres mesures de sécurité sont inutiles.

En supposant que vous utilisez un mot de passe fort pour la clé WiFi et que vous utilisez WPA2 (pas WEP ou même WPA, mais WPA2), le réseau sans fil n'est pas particulièrement facile à pénétrer par effraction.

Ce qui signifie que vos professeurs donnent le mot de passe à vos élèves, soit directement et intentionnellement, soit par un traitement laxiste de sécurité (écrire le mot de passe, laisser les ordinateurs déverrouillés, etc. .)

Il existe de nombreuses autres réponses traitant de choses comme le filtrage d'adresses MAC (inutile), établissant des conséquences claires pour une mauvaise utilisation du réseau, etc.

Certaines réponses abordent également la possibilité de donner aux étudiants leur propre réseau à utiliser.

La solution technique

Quelques réponses suggèrent des variantes de mise en place d'un réseau sécurisé. Cela peut être fait avec un investissement relativement minime et peut être facilement étendu pour fournir plusieurs réseaux pour différents usages (réseau enseignant / administrateur pour les éléments sensibles, réseau étudiant pour les Chromebooks de classe et peut-être même utilisation limitée des appareils des élèves).

Si vous disposez d'Active Directory (un serveur Windows) ou d'un serveur Linux SAMBA, vous pouvez configurer l'authentification WPA-Enterprise sur votre réseau sans fil.

De plus, vous pouvez déployer des points d'accès relativement abordables qui communiquent entre eux et vous permettent de servir plusieurs SSID (plus d'un réseau sans fil), chacun sur un VLAN distinct. Chaque VLAN est un réseau séparé et ne peut pas communiquer avec d'autres VLAN sauf via un routeur, c'est donc sur le routeur que vous établissez des règles de pare-feu pour contrôler ce qui peut communiquer avec quoi. Et un réseau peut utiliser WPA-Enterprise tandis qu'un autre utilise WPA2, ou est ouvert mais force l'authentification via un portail invité captif et un pare-feu empêchant les connexions au réseau d'administration.

Il suffit d'accorder aux étudiants une connexion au réseau leur propre domaine peut réduire le nombre d'entre eux qui souhaitent enfreindre les règles et risquer leurs notes ou leurs étés pour s'introduire dans le réseau d'administration sensible.

Je n'essaye pas de vendre un équipement en particulier, mais à titre d'exemple, vous pouvez obtenir des points d'accès Ubiquiti Unifi pour moins de 70 $ chacun. Ils peuvent servir jusqu'à quatre SSID, et le logiciel du contrôleur est "gratuit" et fonctionne sur Windows ou Linux et comprend un portail invité vous permettant d'exiger des visiteurs (alias "étudiants") de se connecter individuellement pour accéder au réseau. Vous pouvez en déployer autant que nécessaire pour obtenir une couverture sans fil adéquate, et les appareils / ordinateurs portables se déplaceront de manière transparente parmi tous les points d'accès. Ce sont des périphériques PoE, donc tout ce dont ils ont besoin pour fonctionner est un câble Ethernet. http://www.amazon.com/Ubiquiti-Networks-UniFi-Enterprise-System/dp/B004XXMUCQ

Vous pouvez obtenir un vrai routeur pour 100 $ qui poussera près d'un Gigabit par seconde via le moteur de routage (en fait, pour 50 $ avec un débit légèrement inférieur si vous obtenez la version "petit frère" , et oui je pense à une marque en particulier). Chacun de ces petits routeurs vous donnerait une seule connexion Internet (ou des connexions redondantes si vous préférez) et la possibilité de segmenter le réseau en plusieurs VLAN et de contrôler les communications entre ces segments, et de présenter un serveur DHCP différent à chaque segment de réseau. Vous pouvez donc diriger toutes les connexions des élèves via un serveur proxy qui enregistre l'activité et surveille les trucs sournois / inappropriés si c'est ce que vous voulez faire.

Vous pouvez obtenir un Gigabit géré à 8 ports ("intelligent") Commutateur Ethernet avec prise en charge VLAN entièrement adéquate pour 30 $, ou une version 24 ports du commutateur pour 80 $. Compte tenu de l'échelle et du budget dont vous avez besoin, vous n'avez pas à dépenser des milliers de dollars par appareil pour utiliser des commutateurs HP Procurve ou Cisco haut de gamme et des appareils sans fil très coûteux avec des contrôleurs matériels dédiés . Ce sont super, ne vous méprenez pas, mais si ce n'est pas dans le budget, alors ce n'est pas dans le budget.

Pour quelques centaines de dollars, quelqu'un avec un peu de connaissances en réseau et l'accès à la documentation et aux forums en ligne pourrait mettre en place un réseau solide.

Vous devriez le dire aux enseignants à ce sujet, afin qu'ils ne donnent pas de mots de passe aux étudiants et appliquent ensuite le schéma WPA2-Entreprise.

Il y a eu de nombreuses bonnes réponses sur l'utilisation de WPA Enterprise, qui est le bon moyen de sécuriser un réseau Wifi à plusieurs utilisateurs. Les portails captifs fonctionneraient aussi, et je doute que plus d'un couple d'étudiants soit dérangé d'essayer d'usurper les adresses MAC et les cookies pour essayer de contourner cela.

Passer à Ethernet filaire est ma réponse préférée. Être en présence du Wifi est connu pour avoir des effets néfastes sur la santé des gens. Les réponses sur la discipline des étudiants sont également bonnes.

La question est de savoir comment empêcher les étudiants d'accéder au réseau WiFi. Ma réponse est de leur donner envie de ne pas y participer. C'est une école. C'est pour l'éducation. Filtrez tous les contenus non éducatifs sur l'ensemble du réseau pendant les heures de cours. Cela empêcherait à la fois les enseignants et les élèves de se moquer pendant les heures d'école. Cela pourrait être fait avec une liste blanche de services éducatifs, bloquant tous les contenus non éducatifs connus, y compris éventuellement tout le trafic SSL / TLS non inscrit sur la liste blanche, et limitant tout ce qui est inconnu à 1 Ko / s. Le contenu multimédia semble être ce que de nombreux étudiants utilisent. 1 Ko / s mettrait fin à cela. Les enseignants peuvent envoyer un e-mail à l'avance pour demander le déblocage des sites. Après un certain temps, une belle collection de sites éducatifs serait autorisée. Les enseignants seront probablement contrariés que youtube.com ne fonctionne pas. Expliquez aux enseignants que les vidéos doivent être téléchargées à l'avance à l'aide de l'un des nombreux téléchargeurs de vidéos.

Si un nombre limité d'enseignants a besoin d'un accès complet non filtré, un proxy HTTP / HTTPS avec un mot de passe (ou un mot de passe différent par enseignant) pourrait être mis en place pour ces enseignants. En fait, configurer l'ensemble du réseau pour exiger la sortie d'un proxy est une alternative à la sécurisation du wifi.

Je me rends compte que cette idée va à l'encontre de ce que veulent des entreprises comme Google, où leurs produits (comme les Chromebooks) ne fonctionneront pas du tout dans un réseau filtré à moins que vous ne débloquiez YouTube (qui est pratiquement tout ce qui concerne le divertissement). Voulez-vous que l’école soit consacrée à l’éducation ou que les grandes entreprises essaient de contourner les enseignants et de fournir du contenu directement aux élèves?

Une autre façon de filtrer les choses consiste à permettez-le mais cassez-le d'une manière ou d'une autre. Youtube fait cela quand ils veulent censurer quelque chose. Ils ne le supprimeront pas de Youtube, mais ils ne le feront pas apparaître dans les vidéos associées. Cela empêche les gens de quitter Youtube où les choses sont aussi censurées, tout en empêchant la plupart des gens de le voir. Vous pouvez attribuer au hasard toutes les adresses MAC appartenant aux produits Apple (comme les iPhones) à la liste limitée à 5 Ko / s, en supposant que les ordinateurs des enseignants ne sont pas Apple. Vous pouvez demander à tous les enseignants d'éteindre leurs appareils. Ensuite, surveillez toutes les adresses MAC utilisées et attribuez-les au filtre ou à la liste de blocage, ou réglez les gaz à 5 Ko / s. Certains appareils étudiants continueront de fonctionner et il leur faudra beaucoup de temps pour comprendre ce qui se passe.

Vous pouvez surveiller les sites que vous savez que seuls les étudiants utilisent, puis les bloquer en fonction des adresses MAC. La plupart des combinaisons d'appareils & étudiantes empêcheront le changement d'adresse MAC. Finalement, quelqu'un découvrira probablement une rupture de prison et tel ou tel filtrage à l'échelle du réseau, Ethernet filaire ou WPA Enterprise devra être déployé.