试图让高中生远离 Wi-Fi 网络

信息安全 无线上网 无线的 路由器
2021-08-16 05:42:58

我是一所小型K-12学校的教师和 IT 人员。

学生不应该有手机、笔记本电脑或访问网络。然而,作为学生的学生,他们会试图找到绕过规则的方法。

我们一更改 Wi-Fi 密码,学生们就设法获得了这些密码。这对他们来说变成了一场游戏。尽管他们不应该这样做,但他们会将笔记本电脑和手机带入并使用网络。其中一个人会得到密码,它像野火一样在整个学校传播。有时就像把它写在墙上一样简单,其他学生可以在那里获得更新的密码。

我们能做些什么来让他们远离网络?我正在考虑输入MAC 地址,但这非常费力,如果他们欺骗了地址,仍然不能保证成功。

你们有什么建议吗?

一些背景:

一座有 50 年历史的建筑物(大量混凝土墙)中有四个路由器。楼下一台路由器,楼上三台。它们是不同的品牌和型号(Netgear、Asus、Acer、D-Link),因此没有中央管理。

学校有大约 30台 Chromebook和类似数量的 iPad。教师将使用自己的笔记本电脑(混合使用 Windows Vista、Windows 7 和 Windows 8 以及一些 Mac OS X)。

一些老师对技术一点也不满意,他们会带着他们的机器离开房间,让学生可以使用。当学生需要帮助时,老师们经常会隐藏他们的密码,甚至将其提供给学生。例如,他们会在设置投影仪时向学生寻求帮助,然后让他们自己动手,安全性又来了。老师一离开房间,他们就会去任务栏查看 Wi-Fi 路由器的属性以获取密码。

4个回答

对在网络上发现的学生执行后果

您需要做的第一件事是确保您有一个书面政策,概述了网络上允许哪些设备。但是,如果您在执行政策方面不一致,那将毫无用处。

这还应涵盖教师的使用政策,包括当他们不在机器旁时锁定他们的计算机。您还可以使用组策略来阻止用户查看 WiFi 密码。

技术措施

以下包括用于限制在学校网络上使用学生设备的各种选项。最有效的是 WPA2-Enterprise。包括其他内容是因为它们在限制学生未经授权的访问方面可能足够有效,并且根据您的特定网络,可能更容易实施。

但是,该问题表明学生在组织的主网络上。只有 WPA2-Enterprise 才能充分保护您的网络免受未经授权设备的攻击。一旦知道 PSK,学生就有能力嗅探教师的网络流量,并可能捕获电子邮件和 Windows 哈希值。此外,恶意用户可能会开始直接攻击其他机器。

WPA2-企业

最好的解决方案是实施 WPA2-Enterprise,而不是使用预共享密钥 (WPA2-PSK)。这允许颁发个人凭证。这是通过在每台机器上安装客户端证书来实现的。这需要大量的工程设计,并且在更大的环境中进行设置并非易事。这个页面有一些关于如何部署 WPA2-Enterprise 的很好的指导。

强制门户

正如@Steve Sether 所提到的,一旦用户连接到网络,Chillispot强制门户可用于对用户进行身份验证。虽然我没有证据表明,但我怀疑这样的门户可以通过欺骗 MAC 和 IP 地址绕过。但是,它确实增加了难度,并且比在多个设备上进行 MAC 过滤更容易管理。

MAC 地址过滤

正如您所提到的,MAC地址可以被欺骗,因此MAC地址过滤的有效性是有限的。但是,许多电话会防止欺骗 MAC 地址,因此这将解决一些有问题的用户。以 iPhone 为例,需要越狱才能更改 MAC 地址使用 MAC 地址过滤最困难的部分将是管理允许的 MAC 地址列表,尤其是跨来自不同供应商的多个设备。

我还认为使用 MAC 地址过滤或强制门户有“法律”好处。当密码写在白板上时,很难声称用户未经授权访问网络。但是,如果用户必须明确绕过安全限制,则您有更强有力的理由反对该活动。

使用 Internet 代理防止未经授权使用 HTTPS

实施使用您自己的私钥的 HTTPS 解决方案。您可以将相应的证书安装到组织的机器上,他们不会注意到任何不同(尽管组织仍然应该告诉员工 HTTPS 拦截正在发生)。但是,没有证书的未经授权的设备在尝试浏览安全页面时会收到一条关于 HTTPS 无效的令人讨厌的消息。此外,由于您正在解密 HTTPS 流量,因此您将能够监控流量。例如,查看哪些学生登录 Facebook 可以让您直接联系这些学生。

许多内容控制实现提供解密 HTTPS 流量的能力。如果学校已经有内容控制机制(例如 Bluecoat 或 Net Nanny),请与您的供应商讨论如何实施此功能。

您正在尝试解决错误的问题。

他们是数千人,而你是其​​中之一。由于您不是安全专家(据我所知,如果我弄错了,请见谅)而且他们也不是,但他们是一个部落,如果您打一场常规战争,您肯定会输。

@AviD在评论中给出了很好的答案:

这是一个非技术性的想法:这是一所学校,对吧?所以教育他们。教他们后果的重要性、可接受的使用、黑客的非法性……是的,正确使用互联网。我的意思是,如果需要,让他们访问一个单独的过滤网络,并围绕它创建一些课程。课程、互联网安全、严格遵守任何 AUP 等等……让他们访问网络,并用它来教他们成为优秀的互联网公民。并且,如何有效地使用互联网,以协助他们的教育。

您不仅无法赢得阻止他们访问的战争,而且即使您赢了,您也将一事无成:他们仍然拥有自己的设备,他们仍然会分心,只是方式不同

另外,我们可能会说,在“解决问题”方面,你会教给他们宝贵的经验教训。如果这不是您希望他们解决的问题,请找到更好、更有趣或有用的问题。

请注意,即使可行(我猜不是),禁止他们携带设备也不是一个好的解决方案:他们需要学习手边的设备而不是使用它们,遵循代替教训。如果他们不吸取这个教训,将来他们在社交和工作中都会遇到同样的问题

最后,如果他们能设法不听你的课而仍然取得好成绩,那么问题可能就在这里。您的测试是否太容易或太容易作弊?你的课没用吗?这就是重点。另一方面,如果他们没有通过测试,他们可能/应该意识到,也许学习课程将帮助他们成功……

正如 DDPWNAGE 正确指出的那样:

这是2015年吧?在我看来,应该允许学生有限地访问互联网。如果您是高中老师,请询问学校是否可以教授有关使用 Internet 的课程,并教授一些基本的计算机课程。越来越多的孩子对这些科目感兴趣,而在高中学习的编程语言可以在以后为成千上万的孩子节省上大学的时间。我即将在即将到来的星期五从 HS 毕业,我将推出一款使用 Objective-C 作为逻辑的 iOS 游戏。只要让孩子们保持在主题上,他们就可以做伟大的事情。

以太网

在我被每个说 iPad 没有以太网端口的人激怒之前,这只是一层“安全性”。

在大多数情况下,教师应该能够使用带有物理以太网 BASE-100TX CAT5+ 普通旧物理电缆的笔记本电脑。

您将减少攻击面(因为钥匙不再在老师的笔记本电脑上)。

此外,如果学生能够访问物理 CAT5,它会更难被利用(您可以看到连接到电缆的物理设备,并且大多数电话都没有 RJ45 插座)。

如果密码像那样泄漏,您可能会遇到比限制 Wifi 访问更大的问题。听起来孩子们几乎可以做老师可以做的任何事情(包括操纵考试结果?)并且经常在您的位置这样做。

在进行一些侦探工作以缩小泄漏源之后,听起来好像一点点教师教育就可以解决这个问题。它可能是被黑客入侵的计算机或路由器,而不是人为错误,所以我不提倡任何严厉的做法。我会安装一些日志记录,或给教师个人密码(暂时)。

也许还可以让老师更容易地从成年人那里获得帮助,或者在孩子帮助时使用访客帐户?

其它你可能感兴趣的问题
上一篇PDF 文件可以包含病毒吗? 下一篇“删除 RAM”如何构成安全风险?