Administratorhandbuch:Laptop: Unterschied zwischen den Versionen

Aus Delixs
Zur Navigation springen Zur Suche springen
(kat)
 
(8 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
__NOTOC__
__NOTOC__
{{zumTest}}
{{Archiv}}




Zeile 8: Zeile 8:
Da auch die Verbreitung WLAN-fähiger Notebooks im privaten Bereich zunimmt, ist hierbei die Gefahr beim Einbinden fremder Rechner in das Schulnetzwerk größer. Durch fremde Rechner können Viren oder ähnliches ins Netzwerk der Schule eingeschleppt werden. Des weiteren können Sicherungsmechanismen (indentd in der logon.bat, Gruppenrichtlinien, Rechtevergabe am Client, etc.) im Schulnetzwerk unterlaufen werden.
Da auch die Verbreitung WLAN-fähiger Notebooks im privaten Bereich zunimmt, ist hierbei die Gefahr beim Einbinden fremder Rechner in das Schulnetzwerk größer. Durch fremde Rechner können Viren oder ähnliches ins Netzwerk der Schule eingeschleppt werden. Des weiteren können Sicherungsmechanismen (indentd in der logon.bat, Gruppenrichtlinien, Rechtevergabe am Client, etc.) im Schulnetzwerk unterlaufen werden.


Im Folgenden geht es darum, wie Notebooks prinzipiell eingebunden werden können und wie Sie das schulische WLAN absichern können.
Im Folgenden geht es darum, wie Notebooks prinzipiell eingebunden werden können und es erfolgt ein kurzer Hinweis wie Sie das schulische WLAN absichern können. Dazu finden Sie weitere Informationen in der [[FAQ:Netzwerksicherheit|FAQ]]! (Diese kann nur bei bestehender Internetverbindung aufgerufen werden.)




Zeile 45: Zeile 45:
Dass in Ihrer Schule WLAN vorhanden ist, wird sich schnell herumsprechen. Spätestens wenn die ersten Schülergruppen nachmittags mit Notebooks (oder Handhelds) vor der Schule sitzen, sollten Sie sich über die Sicherheit Gedanken machen.
Dass in Ihrer Schule WLAN vorhanden ist, wird sich schnell herumsprechen. Spätestens wenn die ersten Schülergruppen nachmittags mit Notebooks (oder Handhelds) vor der Schule sitzen, sollten Sie sich über die Sicherheit Gedanken machen.


=== WPA-Verschlüsselung ===


=== MAC-Adresskontrolle ===
Die einzige (z.Z.) wirksame Methode Ihr Funknetzwerk vor Zugriffen von aussen wirklich sicher zu machen ist der Einsatz der WPA-Verschlüsselung. Alles andere (Verstecken der SSID, MAC-Adress-Filter, WEP-Verschlüsselung, etc.) dient nur dazu, dass unbeabsichtigte Verbinden eines fremden Notebooks zu verhindern, da diese Methoden innnerhalb von Minuten geknackt werden können!
 
Wenn Sie nur die eigenen Notebooks über Funk in Ihr Schulnetz einbinden wollen, sollten Sie nur die schuleigenen Rechner mit ihrer bekannten MAC-Adresse zur Anmeldung zulassen und alle anderen ausschließen.
 
Diese Einstellungen nehmen Sie direkt im Administrationstool des APs vor, nicht in den Arktur-Einstellungen. Lesen Sie daher bitte die Bedienungsanleitung Ihres AP durch.
 
Beachten Sie schon beim Kauf der APs, dass genügend Adressen eingegeben werden können.
 
'''Achtung:''' Die MAC-Adresse der Funknetzkarte eines schuleigenen Notebooks kann sich jeder Nutzer anzeigen lassen. Er könnte dann einer fremden WLAN-Karte die gleiche MAC-Adresse geben!
 
 
=== Verstecken der SSID ===
 
Wenn Sie einmal im Konfigurationsmenü Ihres APs sind, können Sie auch gleich die Übermittlung der SSID durch den AP abschalten. Damit braucht ein Hacker dann schon Insiderwissen, um auf Ihren AP zugreifen zu können.
 
'''Achtung:''' Jeder Nutzer kann diese SSID auf jedem schuleigenen Notebook im WLAN-Kartenkonfigurationsprogramm im Klartext lesen und es gibt Programme mit denen die SSID ermittelt werden kann.
 
'''Wichtig:''' Das Verstecken der SSID kann auch im regulären Betrieb zu Problemen führen.
 
 
'''Somit stellt das Verstecken der SSID keine echte Sicherheit dar.'''
 
=== WEP und WPA ===
 
Die WEP-Verschlüsselung sollten Sie nicht einsetzen, da sie in wenigen Minuten von jedem Laptop aus geknackt werden kann.
 
Die Verschlüsselung per WPA setzt voraus, dass Sie eine oder mehrere Zeichenketten generieren und diese sowohl im AP und auf den Notebooks eintragen. Damit wird es nahezu unmöglich, in Ihr Funknetz einzudringen. Natürlich darf dieser Schlüssel den Nutzern nicht bekannt sein. Allerdings verlangsamt dies den Durchsatz Ihres Funknetzes etwas.
Die Verschlüsselung per WPA setzt voraus, dass Sie eine oder mehrere Zeichenketten generieren und diese sowohl im AP und auf den Notebooks eintragen. Damit wird es nahezu unmöglich, in Ihr Funknetz einzudringen. Natürlich darf dieser Schlüssel den Nutzern nicht bekannt sein. Allerdings verlangsamt dies den Durchsatz Ihres Funknetzes etwas.


Wenn nun ein Gast sein Notebook einmal in Ihr Funknetz einbinden möchte, würden Sie damit Ihre Sicherheitsvorkehrungen unterlaufen. Sie sollten also Fremdgeräte selbst konfigurieren und die Einträge nach der Veranstaltung wieder entfernen. Mit einem USB-Stick stellt das kein Problem dar.
Wenn nun ein Gast sein Notebook einmal in Ihr Funknetz einbinden möchte, würden Sie damit Ihre Sicherheitsvorkehrungen unterlaufen. Sie sollten also Fremdgeräte selbst konfigurieren und die Einträge nach der Veranstaltung wieder entfernen. Mit einem USB-Stick stellt das kein Problem dar.


=== Verschlüsselung ===
=== Verschlüsselung ===


Noch sicherer wird es, wenn die APs - und damit die WLAN-Stationen - über eine separate Netzwerkkarte mit dem Arktur-Schulserver verbunden werden und zusätzlich noch der Datenverkehr per OpenVPN verschlüsselt wird.
Noch sicherer wird es, wenn die AP - und damit die WLAN-Stationen - über eine separate Netzwerkkarte mit dem Arktur-Schulserver verbunden werden und zusätzlich noch der Datenverkehr per OpenVPN verschlüsselt wird.


Wenn dann noch managebare, lernfähige Switches für die APs genutzt werden, ist Ihr Funknetz sehr sicher.
Wenn dann noch managebare, lernfähige Switches für die AP genutzt werden, ist Ihr Funknetz sehr sicher.


Der Aufwand für einen Angreifer sollte immer höher sein als der Nutzen, den er aus dem Angriff ziehen kann.
'''Der Aufwand für einen Angreifer sollte immer höher sein als der Nutzen, den er aus dem Angriff ziehen kann.'''




Zeile 90: Zeile 65:
Ein Angriff auf das Schulnetz ist per WLAN viel einfacher, da kein direkter kabelgebundener Zugang zum Netz benötigt wird.
Ein Angriff auf das Schulnetz ist per WLAN viel einfacher, da kein direkter kabelgebundener Zugang zum Netz benötigt wird.


'''Sie sollten die Reichweite Ihres Funknetzwerks um die Schule herum austesten, bevor Sie die Standorte für Ihre Access-Points festlegen.'''
'''Sie sollten die Reichweite Ihres Funknetzwerks um die Schule herum austesten, bevor Sie die Standorte für Ihre AP festlegen.'''
 
Natürlich führt auch die Abschaltung der AP außerhalb der Unterrichtszeiten zu erhöhter Sicherheit, aber Angriffe können auch tagsüber stattfinden.


Natürlich führt auch die Abschaltung der APs außerhalb der Unterrichtszeiten zu erhöhter Sicherheit.
Weitergehende Informationen finden Sie in der [[FAQ:Netzwerksicherheit|FAQ]].




----
----
<div align="right">[[Administratorhandbuch|zurück]] | [[Hauptseite]]</div>
<div align="right">[[Administratorhandbuch|zurück]] | [[Hauptseite]]</div>
[[Kategorie:ArchivArktur40]]

Aktuelle Version vom 16. März 2012, 10:24 Uhr


Baustelle Archiv: Dieser Artikel beschreibt nicht die Funktionalität des derzeit aktuellen delixs-Servers. Er beschreibt ältere Schulserver-Funktionen und dient dem Zweck der Archivierung.


Notebooks im Schulnetz

Mit der Verbreitung der schnellen WLAN-Standards wird der flexible Einsatz von Notebooks in der Schule zunehmen. Für Arktur stellt es keinen Unterschied dar, ob ein PC mittels Netzwerkkabel oder ein Notebook per Access-Point (im weiteren AP genannt) und WLAN angeschlossen wird. Da auch die Verbreitung WLAN-fähiger Notebooks im privaten Bereich zunimmt, ist hierbei die Gefahr beim Einbinden fremder Rechner in das Schulnetzwerk größer. Durch fremde Rechner können Viren oder ähnliches ins Netzwerk der Schule eingeschleppt werden. Des weiteren können Sicherungsmechanismen (indentd in der logon.bat, Gruppenrichtlinien, Rechtevergabe am Client, etc.) im Schulnetzwerk unterlaufen werden.

Im Folgenden geht es darum, wie Notebooks prinzipiell eingebunden werden können und es erfolgt ein kurzer Hinweis wie Sie das schulische WLAN absichern können. Dazu finden Sie weitere Informationen in der FAQ! (Diese kann nur bei bestehender Internetverbindung aufgerufen werden.)


Wenn ein DHCP-Server läuft

Wenn der DHCP-Server läuft, ist die Einbindung sehr einfach. Sobald das Notebook drahtigen Kontakt mit dem Netzwerk und damit auch mit dem Arktur hat, bekommt es eine IP-Adresse und alle anderen notwendigen Daten vom DHCP-Server zugewiesen. Damit wäre man schon fast fertig. Wenn das Internet ohne Proxy freigegeben ist, hat das Notebook auch sofort Zugriff auf das Internet.

Wenn das Internet nur über den Proxy zugänglich ist, müssen bei dem favorisierten Browser noch die Proxyeinstellungen eingegeben werden. Diese sollte jeder Nutzer am besten beim Administrator erfragen oder bei einem anderen Rechner im gleichen Teilnetz abschreiben. In den meisten Fällen wird aber "arktur" an Port "8080" funktionieren.

Für den drahtlosen Zugang benötigt jeder Nutzer noch die SSID des Funknetzwerks und je nach Verschlüsselung weitere Angaben (Art der Verschlüsselung und zugehörige Keys). Ansonsten funktioniert die Einbindung wie oben beschrieben.

Achtung: Ein Notebook auf dem Schulhof kommt genau so einfach ins Netz wie ein PC, der per Kabel angeschlossen wird! Sie sollten deshalb auf die WLAN-Sicherheit achten!


Wenn ein Notebook immer die selbe IP-Adresse bekommen soll

Wenn ein Lehrer beispielsweise immer sein Notebook im schulischen Netzwerk hat, ist es vorteilhaft, wenn es immer die gleiche IP-Adresse zugewiesen bekommt. Dazu notieren Sie folgende Angaben:

  • Computername: Der Name des Notebooks im Netzwerk (nicht die Produktbezeichnung!).
  • IP-Adresse: Die IP-Adresse, die das Notebook immer zugewiesen bekommen soll.
  • MAC-Adresse: Die MAC-Adresse der Netzwerkkarte.
  • Raum: Beim Arktur 4 ist es möglich, das Internet raumweise zu sperren. Lehrernotebooks sollten davon ausgeschlossen sein, also am besten einen extra Raumnamen z.B. "LehrerNB" anlegen.

Jetzt können Sie diese Daten nach der Anleitung im Kapitel Adress- und Namensvergabe im Installationshandbuch eintragen.

Wenn kein DHCP-Server läuft

Wenn kein DHCP-Server läuft, wird es etwas schwieriger. Da das Notebook keine IP-Adresse frei Haus bekommt, müssen Sie Ihrem Gerät selbst eine geben. Bevor Sie irgendwelche IP-Adressen ausprobieren, sollten Sie auf jeden Fall den Administrator fragen. Sie könnten unter Umständen das gesamte Netzwerk lahm legen, wenn Sie die IP-Adresse eines Servers erwischen.

Wenn Sie vom Administrator freundlicherweise eine IP-Adresse und die anderen Daten (Gateway, DNS, Proxy) erhalten haben, müssen Sie diese in den Netzwerkeinstellungen fest eintragen.


WLAN in der Schule

Dass in Ihrer Schule WLAN vorhanden ist, wird sich schnell herumsprechen. Spätestens wenn die ersten Schülergruppen nachmittags mit Notebooks (oder Handhelds) vor der Schule sitzen, sollten Sie sich über die Sicherheit Gedanken machen.

WPA-Verschlüsselung

Die einzige (z.Z.) wirksame Methode Ihr Funknetzwerk vor Zugriffen von aussen wirklich sicher zu machen ist der Einsatz der WPA-Verschlüsselung. Alles andere (Verstecken der SSID, MAC-Adress-Filter, WEP-Verschlüsselung, etc.) dient nur dazu, dass unbeabsichtigte Verbinden eines fremden Notebooks zu verhindern, da diese Methoden innnerhalb von Minuten geknackt werden können! Die Verschlüsselung per WPA setzt voraus, dass Sie eine oder mehrere Zeichenketten generieren und diese sowohl im AP und auf den Notebooks eintragen. Damit wird es nahezu unmöglich, in Ihr Funknetz einzudringen. Natürlich darf dieser Schlüssel den Nutzern nicht bekannt sein. Allerdings verlangsamt dies den Durchsatz Ihres Funknetzes etwas.

Wenn nun ein Gast sein Notebook einmal in Ihr Funknetz einbinden möchte, würden Sie damit Ihre Sicherheitsvorkehrungen unterlaufen. Sie sollten also Fremdgeräte selbst konfigurieren und die Einträge nach der Veranstaltung wieder entfernen. Mit einem USB-Stick stellt das kein Problem dar.

Verschlüsselung

Noch sicherer wird es, wenn die AP - und damit die WLAN-Stationen - über eine separate Netzwerkkarte mit dem Arktur-Schulserver verbunden werden und zusätzlich noch der Datenverkehr per OpenVPN verschlüsselt wird.

Wenn dann noch managebare, lernfähige Switches für die AP genutzt werden, ist Ihr Funknetz sehr sicher.

Der Aufwand für einen Angreifer sollte immer höher sein als der Nutzen, den er aus dem Angriff ziehen kann.


Sicherheit

Ein Angriff auf das Schulnetz ist per WLAN viel einfacher, da kein direkter kabelgebundener Zugang zum Netz benötigt wird.

Sie sollten die Reichweite Ihres Funknetzwerks um die Schule herum austesten, bevor Sie die Standorte für Ihre AP festlegen.

Natürlich führt auch die Abschaltung der AP außerhalb der Unterrichtszeiten zu erhöhter Sicherheit, aber Angriffe können auch tagsüber stattfinden.

Weitergehende Informationen finden Sie in der FAQ.



zurück | Hauptseite