Sicherer WLAN-Hotspot für Schule

[Spartaner117]

Hi zusammen,

ich habe den Auftrag, für die Schule ein WLAN aufzustellen, so dass man mit einem WLAN-fähigen Gerät über das Netzwerk ins Internet kommt.

Eigendlich wäre das kein Problem, wenn es nicht immer irgendwelche Chaoten gäbe, die das Netzwerk missbrauchen. Deswegen muss ein wirksamer Schutz/Überwachung her.

Ich hab da verschiedene Ideen im Kopf, weiß aber nicht genau, wie man das am besten (und nicht zuletzt am preiswertesten) löst.
Möglich wäre ja zum Beispiel:

-Temporäre Passwörter, die vergeben werden und nur eine bestimmte Zeit gültig sind.
-Ein Account-System, man muss sich immer einloggen und IPs können bei Missbrauch einer bestimmten Person zugeordnet werden.
-Generelles öffentliches Passwort, mit Einschränkung der Rechte.

Nun, wie lässt sich sowas realisieren. Muss man einen Rechner dazwischen hängen, oder gibt es Router mit der nötigen Funktionalität? Und in welcher Preislage spielt sowas?

Vielen Dank für eure Hilfe.

 

[CPat]

In welcher Form willst du das WLAN denn schützen/überwachen?
Denn es sollte selbstverständlich sein, dass man es verschlüsselt und entsprechend nur Personen mit Passwort zugreifen können, wie bei jedem WLAN daheim auch. Damit wäre es schon mal geschützt.
Da es ja scheinbar ein vorhandenes Netzwerk in der Schule gibt über das auf das Internet zugegriffen werden kann, muss da auch schon etwas wie ein Server/Router/Proxy vorhanden sein, den man bereits jetzt schon zu Überwachung einsetzt oder eben zur Sperre von bestimmten Seiten. Der würde ja dann bei Login über das WLAN genauso dazwischen hängen.

 

[Mike Lowrey]

Meines Erachtens wäre für solch ein Unterfangen sowohl ein Account System als auch eingeschränkte Rechte nötig um das System abzusichern sollte man dann auf einen Proxy mit dem verschiedene Dinge geblockt werden können. Wichtig hierbei ist, dass auch der Header eines jeden Zugriffs geprüft wird, sonst kann man sich relativ einfach mit einer PHP Weiterleitung wieder auf allen Seiten Zugriff verschaffen.

Ob es Router mit solch einer Funktion gibt weiß ich nicht, allerdings gehe ich doch davon aus, dass sowieso ein Proxy in der Schule steht oder nicht?

Achja wo und wie weit soll das WLAN denn funken? Je nachdem musst du dann noch weitere Geräte nutzen um ein größeres Netz zu erstellen.
Falls ein Proxy vorhanden ist, würde ich auf Linksys Router setzen und diese mit alternativen Firmwares auf deine Aufgaben zurecht schneiden.

 

[Spartaner117]

Das Problem ist ja, das theoretisch jeder Schüler mit einem Notebook in Internet gehen können sollte. Ein normales WLAN-Passwort verfehlt da seinen Zweck, man soll ja nach dem Login nicht nicht den vollen Zugriff haben.
Außerdem müsste man das Passwort andauernd ändern, wer weiß wer alles an das Passwort käme. Was aber wiederum zur folge hätte, dass man sich ständig nach dem neuen Passwort erkundigen muss. Da wären temporäre Einzel-Passwörter vom Aufwand her ähnlich.

Die PCs im eigentlichen Schulgebäude (das WLAN is für ein externes Gebäude) sind für diesen Zweck extra an einen schrank-großen Proxy angeschlossen, über den der ganze Verkehr läuft und gefiltert wird. Abgesehen davon dass das finanziell für den Zweck nicht in Frage kommt, finde ich, man kann den Schülern (unter den Auflagen eines funktionierenden Filters) relativ viel Freiheiten lassen, solang man zum Beispiel temporäre Passwörter benutzt.
Was wichtig wäre, wäre vorallem die Unterbindung von P2P- und ähnlichen Systemen (nicht dass irgendwann Anwaltsschreiben reinflattern, weil sich jemand vor die Schule mit dem Notebook gehockt und sich seine Spiele gezogen hat.)

 

[Thomsson]

Ich würd das zuerst mal mit den MAC Adressen durchdenken. Da hast Du von jedem Gerät/Besitzer eine Art ID und nur diese können dann auf´s WLAN zugreifen (evtl. auch noch "Hacker" , da musst hald dann noch weitere Absicherungen treffen)

 

[X1800er]

Sowas ist schon ein sehr großes Unterfangen. Bei uns
hat man das mit einem Master Passwort und einem Server der alles logt hinbekommen.
Ich bin zwar nicht dafür verantwortlich, aber man hat einmal die Absicherung über
das WLAN Passwort, dann über die Nutzer-Authentifizierung dann auch über die MAC-Adresse.
Bis jetzt ist noch nichts vorgefallen

 

[CPat]

Das Passwort für das WLAN verschafft einem in erster Linie ja nur den Zugriff auf das WLAN. Was dort dann freigegeben ist an PCs mit Daten darauf ist ja eine ganz andere Sache unabhängig vom Zugriff auf das WLAN.
Über das WLAN würde dann einfach eine Verbindung geschaffen zum Server und über den gefiltert und protokolliert ins Internet.
Zugriff auf irgendwelche Daten hat man ja nur, wenn auch entsprechende Freigaben gesetzt sind innerhalb des Netzwerks.

Und das Passwort für den WLAN-Zugriff kann man ja auch jedes Jahr oder Halbjahr neu vergeben. Die Herausgabe an Schüler erfolgt über einen kleinen Zettel, den sie zu unterschreiben haben, wo ihnen z.B. untersagt wird das Passwort an Dritte weiterzugeben.

 

[fated!]

Als kleine Hilfestellung von meiner Seite:
in meiner Schule hat jeder Schüler einen eigenen Windowslogin (schueler0293 als Beispiel) mit seinem Passwort, und das kann er auch verwenden, um mit seinem Laptop beim WLAN einzusteigen. Also der Anmeldename ist dann eben gleich der Windowslogin und das dazugehörige Passwort. Damit lässt sich bestimmt mit Programmen kontrollieren, wer welche Seiten angesurft hat usw.

 

[abulafia]

Und warum ist es ein Problem, den schon vorhandenen Proxy zu benutzen?

Und, jetzt nicht beleidigt sein, warum kümmerst du dich darum, wenn du offensichtlich keine Ahnung hast, wie du das machen willst? Außerdem kann die Schule als öffentliche Einrichtung des Landes nicht einfach irgendwen beauftragen. Das ganze scheint in einer Grauzone zu liegen. Irgendwas scheint an deiner Schilderung also nicht zu stimmen.
Es gibt garantiert juristische Probleme, wenn eine Behörde sich von einem Laien ein Netzwerk einrichten lässt. Die brauchen nämlich in jedem Fall jemand, der dafür am Ende die volle Verantwortung (Haftung) übernimmt. Dich damit zu beauftragen scheint nach deiner Schilderung bisher als grob fahrlässig.

 

[Rochus]

Ich empfehle auch eine Kombination aus Userkennung/Passwort und MAC-Adress Filter.
Die MAC Adresse ist an die Netzwerkkarte des Users gebunden und die Registrierten Adressen können in einer Tabelle im Router hinterlegt werden. Ist eine MAC Adresse nicht vorhhanden gibts keinen Zugang.
Das kann man zwar auch fälschen, aber dann müsste man eine eine bereits registrierte kennen und gleichzeitig auch den Usernamen etc. besitzen und das ist schon ein bissl aufwendiger.
Dann ist auch ein Proxy nötig der den Internetzugriff einschränkt und beispielsweise unerwünschte Seiten, Suchbegriffe etc. ausgrenzt (habt ihr ja breits).
Das kann man zwar auch mit JAP oder TOR umgehen ( oder kann man das ausschliessen?!), aber 100%ig sicher wird so oder so beinah unmöglich.

Um beispielsweise p2p einzugrenzen könnte man schon mal die klassischen Esel Ports schliessen um den Zugang zu erschweren.
Oder man geht den anderen Weg und lässt halt nur gewünschte ports offen, wie zum Beispiel Port 80 für http Zugriff, und alles was an Internekommunikation unerwünscht ist, bleibt halt zu.

 

[Lomoch]

Also bei uns ist das folgendermaßen Gelöst:

Auf dem Laptop bzw dem "WLAN-fähigen Gerät" muss der Novell Client installiert sein und wenn man sein WLAN anschaltet und sich mit der Kombination aus Username/Passwort einloggt (das an unserer Schule jeder besitzt) dann lädt meine normale Schuloberfläche und ich kann ins Inet und auf meine Daten zugreifen. Und geloggt wird dann im Server. Wenn du willst, kann ich mal meinen Info-Lehrer fragen wie das genau geht... habe aber seit heute Ferien und das könnte sich also evtl noch a weng hinziehen.

lg Lomoch

 

[Dontales]

Ist das eigentlich nicht die Aufgabe des Informatikverantwortlichen der Schulde und den Informatik Diensten deiner Stadt?

 

[Spartaner117]

@abulafia:

Also, die Lage ist etwas anders. Ich dachte, das tut nichts zur Sache, aber nun ausführlich.
Das ganze ist wie gesagt gedacht für ein schulexternes Gebäude. Dieses ist eigentlich nicht Teil der Schule, d.h. es fällt nicht unter die Haushaltsplanung des Landes oder so. Zuständig dafür ist ein Verein, dem ich angehöre und der mich beauftragt hat, weil ich wohl von den greifbaren am meisten Ahnung hab.
Da ich, wie du erkannt hast, keinen komplett ausgereiften Plan vorlegen kann, habe ich einen Thread in einem Forum eröffnet. Heißt glaub ich ComputerBase.
Ich verheize da also im Moment weder Zeit noch Geld, was sonst in bedürftige Schüler investiert werden könnte, es entsteht alles auf freiwilliger Basis.
Damit fällt auch die Benutzung des Schul-Proxys weg, welcher sowieso von einer beauftragten Firma eingerichtet wurde und sich sonst keiner mit dem Gerät auskennt. (Bzw überhaupt dran darf.)
Entschuldigung, wenn ich wen verwirrt haben sollte.
Zum finanziellen Teil: Der Verein wird bis zu einer bestimmten Summe wohl Sachen anschaffen, aber das Etat ist natürlich ziemlich beschränkt. Eine beauftragte Firma schließt das natürlich auch aus.

@CPat: Glaubst du, dass das Passwort, ob unterschrieben oder nicht, sich wirklich länger als eine Woche nicht weiterverteilt? Also wenn ich an meine früheren Versuche denke, an dem Proxy der Schule vorbei zu kommen, da hätten wir uns alle 10 Finger nach einem Zettelchen mit Passwort geleckt.

 

[CPat]

Du willst über das Netzwerk der Schule ins Internet aber nicht deren Proxy nutzen? Ich glaube kaum, dass du da viel Optionen hast, zumal es doch eine super Gelegenheit ist, wenn bereits eine Infrastruktur zur Filterung und Überwachung besteht.
Der Aufbau sähe doch so aus:
WLAN --- (Schul-LAN) --- Schul-Proxy --- Internet

D.h. willst du vom WLAN ins Internet, musst du zwangsläufig (das Schul-Netzwerk und) den Proxy der Schule nutzen, da der Verkehr nur darüber weiter geleitet wird.

Naja und auf dem Zettel muss nicht unbedingt ein Passwort stehen (obwohl es das auch darf) aber der Zettel wäre in erster Linie zur Belehrung, dass es gegen das Gesetz ist das Passwort weiterzugeben. Zusätzlich hätte man auch eine Bestätigung der Schüler/Vereinsmitglieder durch die Unterschrift.
Das WLAN-Passwort hat nichts mit dem Proxy oder dessen Umgehung zu tun. Es ist wie bereits gesagt lediglich, um mit seinem Rechner überhaupt die Übertragungstechnik des WLAN nutzen zu können.

edit: Das wäre als würde ich dir Zugriff auf mein WLAN-Router ermöglichen. Damit könntest du weder irgendwelche Daten im LAN einsehen, noch Drucken, noch sonst irgendwas tun, außer kostenlos im Internet surfen über meine Leitung. Hätte ich noch einen Proxy, könnte ich entsprechende Restriktionen und Protokollierung einsetzen.

Es ist ja noch nicht mal klar, was du überhaupt alles einstellen willst. Du könntest im Endeffekt ja auch jede WLAN-Kommunikation untereinander und ins Schul-LAN unterbinden und über den Proxy im Internet fast alles blocken. Als Zugang könnte jeder Nutzer sein eigenes Konto erhalten, wo er jeden morgen ein neues Passwort erhält und das nur, wenn er entsprechenden Zugangscode, Token und Fingerabdruck bereit hält. Es liegt halt bei dir, was du vor hast. Also wie sehr du die User in ihren Möglichkeiten beschneiden und kontrollieren willst.

edit2: Für wie viel Leute ist das Vereins-WLAN in etwa gedacht? Dein Vorgehen sollte auch davon abhängig sein. Schließlich hat man bei ca. 20 Usern noch einen guten Überblick. Sollten da aber jede Woche viele hundert Schüler darüber zugreifen, ist das nicht mehr möglich ohne einzelne Benutzerkonten.

 

[Spartaner117]

Wie ich bereits schrieb, ist das Gebäude nicht schulintern und nicht offizieller Teil der Schule. Deswegen (und wegen den baulichen Begebenheiten) ist eine Benutzung des Schul-Internets nicht möglich.
Bisjetzt ist also ein eigenständiger Internet-Anschluss + Modem + Router eingerichtet, welcher soweit auch funktioniert.

Im übrigen ist mir klar, dass man mit dem WLAN Passwort nur ins WLAN Netzwerk kommt. Aber da an dieser Stelle zwangsweise schon eine Passwort-Schnittstelle sitzt, könnte man diese ja als Kontroll-System benutzen. (Sofern das eben möglich ist.)

 

[CPat]

Achso das Projekt hat gar nichts mit der Schule nebenan zu tun? Ich hatte es nämlich die ganze Zeit so verstanden, dass per WLAN eine Verbindung zur Schule aufgebaut werden soll, um deren Leitung zu nutzen.
Sofern das eine mit dem anderen nichts zu tun hat, muss du natürlich alles selbst aufbauen.

Entsprechend bräuchtest du einmal eine Hotspot-Software für deinen Access Point, um die Benutzer zu authentifizieren und dann ggf. noch einen Proxy-Server. Aber ist es wirklich notwendig das Internet zu filtern? Dürfte auf die Art des Vereins und die Benutzer ankommen, ob sowas wirklich notwendig ist.

Habe gerade mal Hotspot Software bei Google eingegeben und scheinbar gibt es da einige Open Source Freeware Lösungen, die nach Angaben des ersten Treffers aber wohl noch nicht so ausgereift wie kommerzielle Lösungen sein sollen.

 

[abulafia]

Ohne nachgelagerten Server hast du auch nicht viele Möglichkeiten.

Eine Möglichkeit wäre das: SMCWHSG14-G
Zusammen mit dem Drucker kann man z.B. auch Tickets erstellen, die nr eine begrenzte Zeit gültig sind.

 

[Spartaner117]

Tut mir leid dass ich nicht geantwortet habe, ich war die letzten Tage in Tunesien.

Vielen Dank erstmal für eure Antworten, es hat ein wenig Klarheit in die Sache gebracht.

 

[netzwerker]

Wie wäre es mit 802.11x? Sicherheit auf Basis von Mac-Adressen ist keine Sicherheit.

Mirko