Imporre conseguenze per gli studenti trovati sulla rete

La prima cosa che devi fare è assicurarti di avere una politica scritta che delinei quali dispositivi sono consentiti sulla rete. Tuttavia, se non sei coerente nell'applicazione della tua politica, è inutile.

Questo dovrebbe coprire anche le politiche di utilizzo per gli insegnanti, incluso il blocco dei loro computer quando non sono presenti alla macchina. Puoi anche utilizzare Criteri di gruppo per impedire agli utenti di visualizzare la password Wi-Fi.

Misure tecniche

Quanto segue è costituito da varie opzioni per limitare il utilizzo dei dispositivi degli studenti sulla rete scolastica. Il più efficace è WPA2-Enterprise. Gli altri sono inclusi perché potrebbero essere abbastanza efficaci nel limitare l'accesso non autorizzato da parte degli studenti e, a seconda della rete specifica, potrebbero essere più facili da implementare.

Tuttavia, la domanda suggerisce che gli studenti si trovano sulla rete principale dell'organizzazione. Solo WPA2-Enterprise proteggerà adeguatamente la tua rete da un attacco di un dispositivo non autorizzato. Una volta che un PSK è noto, uno studente ha la possibilità di annusare il traffico web dell'insegnante e possibilmente acquisire e-mail e hash di Windows. Inoltre, un utente malintenzionato potrebbe iniziare ad attaccare direttamente altre macchine.

WPA2-Enterprise

La soluzione migliore sarebbe implementare WPA2-Enterprise, invece di utilizzare una chiave precondivisa (WPA2- PSK). Ciò consente il rilascio di credenziali individuali. Ciò viene implementato installando i certificati client su ogni macchina. Ciò richiede un bel po 'di ingegneria e non è banale da configurare in ambienti più grandi. Questa pagina contiene alcuni buoni suggerimenti su come distribuire WPA2-Enterprise.

Captive Portal

Come citato da @Steve Sether, il captive portal Chillispot può essere utilizzato per autenticare gli utenti una volta che si sono connessi alla rete. Anche se non ho prove su cui puntare, sospetto che un tale portale possa essere aggirato falsificando indirizzi MAC e IP. Tuttavia, aumenta la difficoltà e sarà più facile da gestire rispetto al filtro MAC su più dispositivi.

Filtro degli indirizzi MAC

Come hai detto, gli indirizzi MAC possono essere falsificati, quindi l'efficacia del filtraggio degli indirizzi MAC è limitata. Tuttavia, molti telefoni impediscono lo spoofing dell'indirizzo MAC, quindi questo risolverà alcuni degli utenti problematici. L'iPhone, ad esempio, deve essere sottoposto a jailbreak prima di poter modificare l'indirizzo MAC. La parte più difficile dell'utilizzo del filtro degli indirizzi MAC sarà la gestione dell'elenco degli indirizzi MAC consentiti, in particolare su più dispositivi di vari fornitori.

Direi anche che l'utilizzo del filtro degli indirizzi MAC presenta un vantaggio "legale" o un Captive Portal. Può essere difficile affermare che un utente non era autorizzato ad accedere a una rete quando la password è scritta su una lavagna. Tuttavia, se un utente deve aggirare esplicitamente una restrizione di sicurezza, hai un motivo più forte contro l'attività.

Utilizzo di un proxy Internet per impedire usi non autorizzati di HTTPS

Implementa una soluzione HTTPS che utilizza la tua chiave privata. Puoi installare il certificato corrispondente sulle macchine dell'organizzazione e loro non noteranno nulla di diverso (anche se l'organizzazione dovrebbe comunque dire al personale che si sta verificando l'intercettazione HTTPS). Tuttavia, i dispositivi non autorizzati senza il certificato riceveranno un messaggio sgradevole sull'invalidità di HTTPS ogni volta che tentano di esplorare una pagina protetta. Inoltre, poiché stai decrittografando il traffico HTTPS, sarai in grado di monitorare il traffico. Ad esempio, vedere quali studenti accedono a Facebook ti consentirà di rivolgerti direttamente a quegli studenti.

Molte implementazioni di Content Control offrono la possibilità di decrittografare il traffico HTTPS. Se la scuola dispone già di un meccanismo di controllo dei contenuti (come Bluecoat o Net Nanny), parla con il tuo fornitore di come implementare questa funzione.

Stai cercando di risolvere il problema sbagliato.

Sono migliaia e tu sei uno. Dato che non sei un esperto di sicurezza (per quanto ho capito, scusa se mi sbaglio) e non lo sono neanche loro, ma sono un'orda, sei destinato a perdere se combatti una guerra convenzionale.

@AviD ha dato un'ottima risposta in un commento:

Ecco un'idea non tecnica: questa è una scuola, giusto? Quindi istruiscili. Insegna loro l'importanza delle conseguenze, l'uso accettabile, l'illegalità dell'hacking ... e sì, l'uso corretto di Internet. Voglio dire, dare loro l'accesso a una rete filtrata separata, se necessario, e creare un programma attorno a questo. Classi, sicurezza di Internet, rispetto rigoroso di qualsiasi AUP, ecc ... Dare loro l'accesso alla rete e usarlo per insegnare loro ad essere buoni cittadini di Internet. E come utilizzare Internet in modo produttivo, per aiutarli nella loro istruzione.

Non solo non puoi vincere la guerra per impedire loro di accedervi, ma anche se lo fai , non avrai ottenuto nulla: hanno ancora i loro dispositivi, si distrarranno comunque, solo in modi diversi .

Inoltre, l'hacking insegnerà loro preziosi lezioni, in "problem solving", potremmo dire. Se questo non è il tipo di problema che vuoi che risolvano, trova problemi migliori, più divertenti o utili.

Tieni presente che, anche se fosse fattibile (immagino non lo sia), anche impedire loro di portare i dispositivi non è una buona soluzione: devono imparare ad avere dispositivi a portata di mano e non usarli, seguendo invece la lezione. Se non imparano questa lezione, in futuro avranno lo stesso problema sia sul piano sociale che sul lavoro .

Infine, se riescono a non seguire le tue lezioni e ottenere comunque buoni voti , il problema potrebbe risiedere qui. I tuoi test sono troppo facili o troppo convenienti? Le tue lezioni sono inutili? Questo è il punto. D'altra parte, se falliscono i test, potrebbero / dovrebbero rendersi conto che forse seguire le lezioni li aiuterà ad avere successo ...

Come correttamente sottolinea DDPWNAGE:

Questo è il 2015, giusto? A mio parere, agli studenti dovrebbe essere consentito un accesso limitato a Internet. Se sei un insegnante di scuola superiore, chiedi alla scuola se puoi tenere un corso sull'uso di Internet e tenere alcune lezioni di informatica di base. Un numero crescente di ragazzi si sta interessando a queste materie e un linguaggio di programmazione appreso al liceo può in seguito salvare migliaia di ragazzi al college. Mi diplomerò all'HS questo venerdì prossimo e uscirò con un gioco iOS che utilizza Objective-C come logica. Invita i bambini a rimanere in tema e possono fare grandi cose.

Avrai ridotto la superficie di attacco (poiché i tasti non saranno accesi i laptop dell'insegnante).

Inoltre, se gli studenti avessero accesso al CAT5 fisico, sarebbe più difficile da sfruttare (puoi vedere un dispositivo fisico collegato a un cavo e la maggior parte dei telefoni non dispone di una presa RJ45).

Se le password perdono in questo modo, potresti avere un problema più grande rispetto alla limitazione dell'accesso Wi-Fi. Sembra che i bambini possano fare quasi tutto ciò che un insegnante può fare (inclusa la manipolazione dei risultati degli esami?) E lo fanno abitualmente nella tua posizione.

Sembra che un po 'di formazione degli insegnanti possa risolvere questo problema, dopo un po' di lavoro investigativo per restringere la fonte della perdita. Potrebbe essere un computer o un router compromesso piuttosto che un errore umano, quindi non sto sostenendo nulla di draconiano. Vorrei installare un po 'di registrazione o fornire agli insegnanti password individuali (temporaneamente).

Forse renderebbe anche più facile per gli insegnanti ottenere aiuto da un adulto o utilizzare account ospite se un bambino sta aiutando?

• Assegna a ogni utente autorizzato la propria password individuale. Quindi sarai in grado di giudicare da dove provengono le perdite (supponendo che siano trapelate anziché incrinate). (ad esempio, potresti scoprire che è necessario educare uno dei tuoi insegnanti a non lasciare la password scritta sulla scrivania).

• Imposta regole firewall rigide che bloccano l'accesso alla maggior parte di Internet. Lascia solo il minimo indispensabile di siti accessibili. Gli studenti potrebbero rinunciare a provare a connettersi se non consente loro di accedere a Facebook (ad esempio). Gli utenti autorizzati potrebbero facilmente richiedere che un sito venga sbloccato se ne hanno bisogno. Il blocco potrebbe anche essere configurato per applicare solo le connessioni wireless, in questo modo non arrecherà disturbo al personale amministrativo che è al computer sulla scrivania tutto il giorno su una connessione cablata.

Considera un aggiornamento dell'apparecchiatura

So che stai cercando una soluzione senza budget, ma un set corrispondente di WAP di livello aziendale e controller centrale potrebbe rendere rete più facile. Valutalo contro il costo della difesa da una causa per cyberbullismo o molestie nei confronti di un dipendente o per facilitare la falsificazione dei punteggi dei test ...

Utilizza il filtro MAC

La raccolta degli indirizzi MAC ti offre la possibilità di parlare con ogni membro del personale delle tue aspettative per la protezione del proprio account e delle proprie apparecchiature. Un elenco di indirizzi MAC, numeri di serie hardware e altre informazioni sull'attrezzatura di proprietà della scuola è importante anche per dimostrare che non sei stato oggetto di furto.

Rendi DHCP un honeypot

Assegna ai dispositivi dei membri del personale indirizzi IP statici da un intervallo gestibile e consenti loro qualsiasi accesso a Internet sia appropriato. Configura DHCP per fornire indirizzi da un intervallo diverso per indirizzi MAC non riconosciuti e imposta un reindirizzamento DNAT in modo che l'unica cosa che un utente vede quando proviene da quell'intervallo di indirizzi IP sia una pagina web statica con le istruzioni per parlare con te:

"Questa rete è gestita dalla scuola XXX ed è solo per uso accademico autorizzato. Se ritieni di visualizzare questa pagina per errore, consulta il signor McQueen nella stanza XXX."

Applica conseguenze

Se gli studenti non dovrebbero avere telefoni e laptop, applicali. Primo reato, confiscate subito il dispositivo, fatelo venire a prendere da un genitore. Secondo reato, stessa esercitazione, sospendere lo studente, come se uno studente fosse sorpreso con droga o un'arma. Per quegli studenti che devono portare un telefono da / per la scuola (se si tratta di una scuola superiore, forse hanno bisogno di un telefono per il lavoro o per recarsi al lavoro), faglielo fare in segreteria prima dell'inizio della giornata scolastica e controlla in seguito.

È necessario rafforzare la sicurezza umana, non la sicurezza tecnica. La password WiFi è abbastanza buona, le vere domande sono " Chi sta divulgando le password agli studenti? " e " Come fermarle? ". Non puoi avere alcuna sicurezza se le persone privilegiate (personale) condividono le proprie credenziali con quelle che stai tentando di bloccare.

L'impostazione di password diverse per ogni singola persona aiuterebbe solo in quanto tale essere in grado di bloccare coloro che rivelano le loro password. E poi gradualmente insegna loro a stare più attenti impiegando una lunga e fastidiosa procedura di ripristino dell'accesso: D

// edit: Dopo aver riletto la tua domanda, mi rendo conto che hai già detto come le password siano trapelate.

  Alcuni insegnanti non sono affatto a loro agio con la tecnologia 

Quindi, posso proporvi mezzi estremi:

Allora cambia la tecnologia! Il Wi-Fi è complicato e confuso. Sostituiscilo con cavi. I cavi sono semplici e facili da capire: uno lo collega, le luci iniziano a lampeggiare e Internet funziona. Ti prego di capire che non ti esorto a chiudere fisicamente il tuo Wi-Fi. Suggerisco semplicemente che la maggior parte degli insegnanti non dovrebbe usarlo direttamente, quindi non hanno bisogno di conoscere la password.

Se non riesci a procurarti un cavo da qualche parte, un semplice punto di accesso in modalità client fornirà un jack Ethernet. La password sul pannello di amministrazione renderà molto difficile apprendere come questo AP autorizza il tuo Wi-Fi "backbone".

Per Chromebook e iPad, imposta un Wi-Fi dedicato nella stanza in cui si trovano Usato. Puoi cambiare la sua password dopo ogni lezione e annunciare quella nuova all'inizio della lezione successiva.

Userei WPA2-Enterprise, quindi tutti userebbero il proprio nome e password, non solo una password, che è uguale per tutti. Per configurare WPA2-Enterprise, è sufficiente disporre di un server RADIUS. L'opinione più economica, penso sia quella di acquistare un server NAS. Supporta più cose e talvolta anche RADIUS (consiglio Synology per questo).

L'alternativa è usare un sistema di hotspot per richiedere il login, ma non tutti i router lo supportano ed è piuttosto costoso.

Il filtro MAC menzionato e i trap DHCP non sono la sicurezza principale. Deve aver registrato tutti gli indirizzi nei router, quindi non è possibile portare il proprio dispositivo. La prossima cosa è che il filtro MAC e le trap DHCP possono essere violate in circa 5-15 minuti.

All'ultimo paragrafo: qualcuno dovrebbe dire agli insegnanti che è sbagliato. Sebbene sia possibile impostare il blocco del dispositivo dopo un certo periodo di inattività e molte altre cose, non esiste un modo efficace per smettere di dire la password a persone che non dovrebbero avere la password. Inoltre, dovrebbero cambiare periodicamente le password.

Ma io vedo l'intera cosa in questo modo: non c'è modo di fermare l'hacker (studenti), puoi solo rendere più difficile l'hackeraggio.

Configura un captive portal che utilizzi RFC 6238 come Google Authenticator (GA) ( https://github.com/google/google-authenticator). GA ha un modulo PAM. Chiedi a ogni dipendente di installare l'app, quindi di venire nel tuo ufficio IT, di persona, per configurare (sincronizzare) il proprio account con l'app.

Utilizza il token di autenticazione come unico o secondo fattore. Se i codici QR oi segreti vengono trapelati, sei tornato nel caos, ma dovresti essere in grado di contenerlo.

Puoi anche usare urQui ( http://urqui.com/web /) invece di Google Authenticator

Ti consiglierò di fare ciò che fa la maggior parte delle fonti Wi-Fi pubbliche e richiedere l'autenticazione tramite un sito web con nomi utente e password individuali. Utilizza anche una password WPA, se lo desideri, in modo da fornire una certa protezione dallo sniffing casuale.

È disponibile tramite il router gratuito DD-WRT, in particolare tramite un software chiamato ChiliSpot. È quindi possibile utilizzare un provider di terze parti per gestire l'autenticazione degli utenti.

ChilliSpot è un controller del punto di accesso wireless o LAN Captive_Portal open source. Viene utilizzato per autenticare gli utenti. Supporta l'accesso basato sul Web, che è lo standard attuale per gli HotSpot pubblici. L'autenticazione, l'autorizzazione e la contabilità (AAA) vengono gestite da un provider in linea o da un servizio di raggio locale fornito dall'utente.

Ogni insegnante avrà quindi un accesso individuale. Anche se le password potrebbero ancora "trapelare", potresti facilmente cambiare qualsiasi password per un utente poiché il servizio offre anche la contabilità e troverai quale persona è responsabile della perdita della password. In questo momento sono sicuro che sia un grosso problema cambiare la chiave precondivisa poiché deve essere comunicata a così tante persone, quindi immagino che non lo fai molto spesso. Inoltre, digitare un nome utente e una password "sembra" più simile a un hacking che alla semplice condivisione di una password WPA (cosa che le persone fanno sempre). Quindi anche questa modifica ridurrà probabilmente gli abusi anche se un accesso individuale è trapelato.

Sconsiglio il filtraggio degli indirizzi MAC perché è un incubo di manutenzione ogni volta che un insegnante vuole connettere un nuovo dispositivo alla rete. Potrebbe essere fatto ovviamente, ma sembra più un problema di quanto valga la pena. Anche lo spoofing dell'indirizzo MAC è relativamente banale e, una volta scoperto, sarebbe solo questione di tempo prima che tutti sapessero come farlo.

Presumo che abbiate già pensato all'opzione "imposizione" e l'abbiate rifiutata per i vostri motivi. Buono. Spero che le scuole non vadano oltre per essere più simili a prigioni che a luoghi in cui imparare.

Trova un modo per non fornire la password. Non ho esperienza con questo strumento, ma SpiceWorks ha un programma gratuito per la gestione dei dispositivi mobili su http://www.spiceworks.com/free-mobile-device-management-mdm-software/. Usalo per distribuire la password WPA2 a tutti i computer autorizzati a connettersi. Se uno studente mette le mani sul programma di installazione, ciò non lo aiuterà perché puoi configurarlo in modo che il dispositivo debba essere approvato prima di ottenere la password.

802.1X

IEEE 802.1X è uno standard per il controllo dell'accesso di rete basato su porta (PNAC): fornisce un meccanismo di autenticazione ai dispositivi che desiderano connettersi a una LAN o WLAN.

Ci sono diversi modi in cui può essere configurato, quindi dovrai esaminare quali sono le tue apparecchiature e le tue esigenze, ma un tipico caso d'uso è se hai una MS ActiveDirectory con tutti i tuoi utenti ( personale) con account AD. È quindi possibile configurare un server RADIUS e gli utenti possono quindi autenticarsi con le loro normali credenziali di dominio per ottenere l'accesso alla rete.

Ecco una strategia diversa. Cominciamo assumendo quanto segue:

1. Qualsiasi password che dai agli insegnanti trapelerà fintanto che gli insegnanti non sono motivati ​​a non condividere le loro password
2. Una volta che una password trapela, viaggia ampiamente tramite il passaparola
3. L'applicazione / azione contro gli studenti per aver utilizzato password prese in prestito è difficile
4. Stiamo cercando di fermare lo studente medio e non un hacker veramente motivato
5. Avere un elenco statico di MAC è troppo restrittivo e può essere comunque contraffatto
6. Avere qualsiasi tipo di elenco MAC dinamico rende molto lavoro quotidiano dover aggiungere dispositivi e inoltre può essere falsificato comunque.
7. Non ti interessa davvero il tipo strano o troppo che accede illegittimamente fintanto che non così tanti ragazzi accedono per inondare la tua larghezza di banda

Ora dato tutto questo , l'unica soluzione che penso si adatti al caso d'uso è una password che cambia frequentemente. Certo, potrebbe essere un po 'complicato da implementare ma non impossibile.

Pensiamo prima a cosa potrebbe funzionare per il tuo caso d'uso e poi possiamo preoccuparci di come implementarlo. Quello che ti serve è un sistema che generi una password con scadenza. Ad esempio, ogni giorno, quando qualcuno tenta di accedere, gli mandi un codice di accesso che funziona per 8 ore tramite un mezzo fuori canale che funzionerebbe. per esempio. utilizzare un SMS / messaggio di testo per inviare loro il codice di accesso. I cellulari sono onnipresenti. Quasi tutto il tuo staff li avrà. Tra i lati positivi, la password non deve essere molto lunga e difficile ora. Un codice numerico a 4 o 6 cifre dovrebbe essere sufficiente per la maggior parte degli scopi.

In questo sistema, anche se un insegnante fornisce una password, accidentalmente o intenzionalmente, il danno è minimo perché il numero di utenti illegittimi che possono ottenere la password in 8 ore è limitato. E la password non è più valida dopo.

Fondamentalmente, rendi la vita più difficile ai cattivi.

Se volevi peggiorare le cose, potresti anche fare in modo che qualsiasi codice di accesso fosse valido solo per un dispositivo.

Implementazione: non sono sicuro di come si chiamino i sistemi, ma l'ho già visto negli aeroporti (soprattutto al di fuori degli Stati Uniti) e in altri luoghi pubblici. Devo inserire il mio numero di cellulare e accettare i termini nella pagina di accesso che mi viene presentata quando provo ad accedere a una rete WiFi e quindi il sistema mi invia un messaggio di testo sul mio cellulare con il codice di accesso necessario per l'accesso.

Invio di messaggi di testo: con qualcosa come Twilio o dozzine di altre API SMS in linea, l'invio del messaggio effettivo non dovrebbe essere così difficile. A meno di un centesimo per messaggio inviato non dovrebbe sovraccaricare il tuo budget.

Alternativa alla messaggistica di testo: utilizza un generatore di codici pin basato sul tempo come uno di quei telecomandi RSA o persino l'autenticatore di Google. Ma programmare questo tipo di soluzione e integrarla nella tua soluzione potrebbe non essere banale.

Ti stai avvicinando al problema nel modo sbagliato e nel frattempo stai rendendo te stesso (e l'istituzione in generale) il nemico. Il corpo studentesco è, collettivamente, più intelligente e dispone di più risorse. Inoltre, non dimenticare per chi lavori (loro).

Se fossi al tuo posto, prenderei la strada più semplice: una rete wifi per studenti completamente aperta. Sì, hai letto bene, nessuna restrizione.

Il modo in cui lo "controlli" fa sì che sia ben noto che la rete è monitorata. E qualsiasi traffico "insolito" verrà pubblicato sul sito web della scuola affinché tutti possano vederlo.

Stai includendo classi di età dell'informazione, vero? Come funzionano le reti, cracking delle password, sicurezza delle informazioni, analisi delle truffe del mese, ecc.? In caso contrario, stai fallendo nel tuo lavoro di educatore. Siamo nel ventunesimo secolo, questa è una conoscenza richiesta e piuttosto più importante della lunga divisione o della Rivoluzione francese. I loro telefoni fanno già divisione.

Il problema umano (ingegneria sociale)

Gli insegnanti consegnano casualmente le password agli studenti. Il primo gruppo che devi istruire sull'uso della rete sono i tuoi insegnanti. Altrimenti, ulteriori misure di sicurezza sono inutili.

Presumendo che tu stia utilizzando una password complessa per la chiave WiFi e utilizzando WPA2 (non WEP o anche WPA, ma WPA2), la rete wireless non particolarmente facile da violare.

Ciò significa che i tuoi insegnanti stanno fornendo la password ai tuoi studenti, direttamente e intenzionalmente, o attraverso un trattamento di sicurezza lassista (annotare la password, lasciare i computer sbloccati, ecc. .)

Ci sono molte altre risposte che affrontano cose come il filtraggio degli indirizzi MAC (inutile), che stabiliscono chiare conseguenze per un uso improprio della rete, ecc.

Alcune risposte riguardano anche la possibilità di dare agli studenti la propria rete da utilizzare.

La soluzione tecnica

Alcune risposte hanno suggerito varianti della configurazione di una rete sicura. Questo può essere fatto con un investimento relativamente minimo e può essere facilmente esteso per fornire più reti per usi diversi (rete dell'insegnante / amministratore per cose sensibili, rete degli studenti per i Chromebook di classe e forse anche uso limitato dei dispositivi degli studenti).

Se hai Active Directory (un server Windows) o un server SAMBA Linux, puoi impostare l'autenticazione WPA-Enterprise sulla tua rete wireless.

Inoltre, puoi distribuire punti di accesso relativamente convenienti che comunicano tra loro e ti consentono di servire più SSID (più di una rete wireless), ciascuno su una VLAN separata. Ogni VLAN è una rete separata e non può comunicare con altre VLAN se non tramite un router, quindi è il router dove si stabiliscono le regole del firewall per controllare cosa può comunicare con cosa. E una rete può utilizzare WPA-Enterprise mentre un'altra utilizza WPA2, oppure è aperta ma forza l'autenticazione tramite un captive guest portal e un firewall che impedisce le connessioni alla rete di amministrazione.

Basta concedere agli studenti una connessione di rete il loro dominio può ridurre il numero di coloro che sono interessati a violare le politiche e a rischiare i voti o le estati per entrare nella rete di amministrazione sensibile.

Non sto cercando di vendere nessun particolare equipaggiamento, ma come solo un esempio puoi ottenere AP di Ubiquiti Unifi per meno di $ 70 ciascuno. Possono servire fino a quattro SSID e il software del controller è "gratuito" e funziona su Windows o Linux e include un portale per gli ospiti che consente di richiedere ai visitatori (detti anche "studenti") di collegarsi individualmente per poter accedere alla rete. È possibile distribuire tutti i dispositivi necessari per ottenere una copertura wireless adeguata e i dispositivi / laptop gireranno senza problemi tra tutti gli AP. Sono dispositivi PoE, quindi tutto ciò di cui hanno bisogno per funzionare è un cavo Ethernet. http://www.amazon.com/Ubiquiti-Networks-UniFi-Enterprise-System/dp/B004XXMUCQ

Puoi ottenere un router reale per $ 100 che si avvicinerà a un Gigabit al secondo attraverso il motore di routing (in realtà, per $ 50 con un throughput leggermente inferiore se ottieni la versione "fratellino" , e sì, sto pensando a una marca particolare). Uno di questi piccoli router ti darebbe una singola connessione Internet (o connessioni ridondanti se preferisci) e la possibilità di segmentare la rete in più VLAN e controllare le comunicazioni tra quei segmenti e presentare un server DHCP diverso a ciascun segmento di rete. Quindi potresti dirigere tutte le connessioni degli studenti attraverso un server proxy che registra l'attività e controlla cose subdole / inappropriate se è quello che vuoi fare.

Puoi ottenere un Gigabit gestito ("intelligente") a 8 porte Switch Ethernet con supporto VLAN completamente adeguato per $ 30 o una versione a 24 porte dello switch per $ 80. Per la scala e il budget con cui hai a che fare, non devi spendere migliaia di dollari per dispositivo per utilizzare switch HP Procurve o Cisco di prima qualità e dispositivi wireless super costosi con controller hardware dedicati . Sono fantastici, non fraintendetemi, ma se non è nel budget, allora non è nel budget.

Per poche centinaia di dollari, qualcuno con un po 'di conoscenza del networking e l'accesso alla documentazione in linea e ai forum potrebbe creare una solida rete.

Dovresti parlarne agli insegnanti, in modo che non forniscano password agli studenti e quindi applichino lo schema WPA2-Enterprise.

Ci sono state molte buone risposte sull'utilizzo di WPA Enterprise, che è il modo corretto per proteggere le reti Wifi di più utenti. Anche i captive portal funzionerebbero e dubito che più di un paio di studenti si preoccuperebbero di cercare di falsificare gli indirizzi MAC e i cookie per aggirare il problema.

Passare a Ethernet cablata è la mia risposta preferita. È noto che essere in presenza di Wifi ha effetti negativi sulla salute delle persone. Anche le risposte sulla disciplina degli studenti sono buone.

La domanda è come tenere gli studenti lontani dalla rete WiFi. La mia risposta è fare in modo che non vogliano parteciparvi. Questa è una scuola. È per l'istruzione. Filtra tutti i contenuti non educativi su tutta la rete durante l'orario scolastico. Ciò impedirebbe agli insegnanti e agli studenti di scherzare durante l'orario scolastico. Potrebbe essere fatto con una lista bianca di servizi educativi, bloccando tutti i contenuti non educativi conosciuti, possibilmente incluso tutto il traffico SSL / TLS non elencato in bianco, e limitando tutto ciò che è sconosciuto a 1KB / sec. Il contenuto multimediale sembra essere quello che usano molti studenti. 1 KB / sec metterebbe fine a tutto ciò. Gli insegnanti possono inviare messaggi di posta elettronica in anticipo per richiedere lo sblocco dei siti. Dopo un po 'sarebbe stata ammessa una bella raccolta di siti educativi. Gli insegnanti saranno probabilmente sconvolti dal fatto che youtube.com non funzioni. Spiega agli insegnanti che i video devono essere scaricati in anticipo utilizzando uno dei numerosi downloader di video.

Se un numero limitato di insegnanti necessita di un accesso completo e non filtrato, un proxy HTTP / HTTPS con una password (o una password diversa per insegnante) potrebbe essere impostato per quegli insegnanti. In realtà, configurare l'intera rete per richiedere l'uscita di un proxy è un'alternativa alla protezione del wifi.

Mi rendo conto che questa idea va contro ciò che vogliono aziende come Google, dove i loro prodotti (come i Chromebook) non funzioneranno affatto in una rete filtrata a meno che non sblocchi YouTube (che è praticamente tutto dal punto di vista dell'intrattenimento). Vuoi che la scuola sia per l'istruzione o che le grandi aziende entrino e provino a bypassare gli insegnanti e fornire contenuti direttamente agli studenti?

Un altro modo per filtrare le cose è parzialmente permettetelo ma spezzatelo in qualche modo. Youtube lo fa quando vuole censurare qualcosa. Non lo rimuoveranno da Youtube, ma non lo faranno apparire nei video correlati. Ciò impedisce alle persone di abbandonare Youtube dove le cose sono censurate, impedendo alla maggior parte delle persone di vederlo. Puoi assegnare casualmente tutti gli indirizzi MAC appartenenti ai prodotti Apple (come gli iPhone) all'elenco limitato a 5 KB / sec, supponendo che i computer degli insegnanti non siano Apple. Puoi richiedere a tutti gli insegnanti di spegnere i loro dispositivi. Quindi monitora tutti gli indirizzi MAC che sono in uso e assegnali al filtro o all'elenco di blocco, oppure regola a 5 KB / sec. Alcuni dispositivi degli studenti continueranno a funzionare e impiegheranno molto tempo per capire cosa sta succedendo.

Potresti monitorare i siti che sai che solo gli studenti stanno visitando e poi bloccarli in base agli indirizzi MAC. La maggior parte delle combinazioni di dispositivi & degli studenti impedirà la modifica dell'indirizzo MAC. Alla fine qualcuno probabilmente scoprirà il jailbreak e questo e così altro filtro a livello di rete, Ethernet cablata o WPA Enterprise dovranno essere distribuiti.