Administratorhandbuch:Laptop: Unterschied zwischen den Versionen

Aus Delixs
Zur Navigation springen Zur Suche springen
K (Schützte „Administratorhandbuch:Laptop“ [edit=sysop:move=sysop])
(Archiv)
Zeile 1: Zeile 1:
__NOTOC__
__NOTOC__
{{fertig}}
{{Archiv}}





Version vom 1. Mai 2009, 09:52 Uhr


Baustelle Archiv: Dieser Artikel beschreibt nicht die Funktionalität des derzeit aktuellen delixs-Servers. Er beschreibt ältere Schulserver-Funktionen und dient dem Zweck der Archivierung.


Notebooks im Schulnetz

Mit der Verbreitung der schnellen WLAN-Standards wird der flexible Einsatz von Notebooks in der Schule zunehmen. Für Arktur stellt es keinen Unterschied dar, ob ein PC mittels Netzwerkkabel oder ein Notebook per Access-Point (im weiteren AP genannt) und WLAN angeschlossen wird. Da auch die Verbreitung WLAN-fähiger Notebooks im privaten Bereich zunimmt, ist hierbei die Gefahr beim Einbinden fremder Rechner in das Schulnetzwerk größer. Durch fremde Rechner können Viren oder ähnliches ins Netzwerk der Schule eingeschleppt werden. Des weiteren können Sicherungsmechanismen (indentd in der logon.bat, Gruppenrichtlinien, Rechtevergabe am Client, etc.) im Schulnetzwerk unterlaufen werden.

Im Folgenden geht es darum, wie Notebooks prinzipiell eingebunden werden können und es erfolgt ein kurzer Hinweis wie Sie das schulische WLAN absichern können. Dazu finden Sie weitere Informationen in der FAQ! (Diese kann nur bei bestehender Internetverbindung aufgerufen werden.)


Wenn ein DHCP-Server läuft

Wenn der DHCP-Server läuft, ist die Einbindung sehr einfach. Sobald das Notebook drahtigen Kontakt mit dem Netzwerk und damit auch mit dem Arktur hat, bekommt es eine IP-Adresse und alle anderen notwendigen Daten vom DHCP-Server zugewiesen. Damit wäre man schon fast fertig. Wenn das Internet ohne Proxy freigegeben ist, hat das Notebook auch sofort Zugriff auf das Internet.

Wenn das Internet nur über den Proxy zugänglich ist, müssen bei dem favorisierten Browser noch die Proxyeinstellungen eingegeben werden. Diese sollte jeder Nutzer am besten beim Administrator erfragen oder bei einem anderen Rechner im gleichen Teilnetz abschreiben. In den meisten Fällen wird aber "arktur" an Port "8080" funktionieren.

Für den drahtlosen Zugang benötigt jeder Nutzer noch die SSID des Funknetzwerks und je nach Verschlüsselung weitere Angaben (Art der Verschlüsselung und zugehörige Keys). Ansonsten funktioniert die Einbindung wie oben beschrieben.

Achtung: Ein Notebook auf dem Schulhof kommt genau so einfach ins Netz wie ein PC, der per Kabel angeschlossen wird! Sie sollten deshalb auf die WLAN-Sicherheit achten!


Wenn ein Notebook immer die selbe IP-Adresse bekommen soll

Wenn ein Lehrer beispielsweise immer sein Notebook im schulischen Netzwerk hat, ist es vorteilhaft, wenn es immer die gleiche IP-Adresse zugewiesen bekommt. Dazu notieren Sie folgende Angaben:

  • Computername: Der Name des Notebooks im Netzwerk (nicht die Produktbezeichnung!).
  • IP-Adresse: Die IP-Adresse, die das Notebook immer zugewiesen bekommen soll.
  • MAC-Adresse: Die MAC-Adresse der Netzwerkkarte.
  • Raum: Beim Arktur 4 ist es möglich, das Internet raumweise zu sperren. Lehrernotebooks sollten davon ausgeschlossen sein, also am besten einen extra Raumnamen z.B. "LehrerNB" anlegen.

Jetzt können Sie diese Daten nach der Anleitung im Kapitel Adress- und Namensvergabe im Installationshandbuch eintragen.

Wenn kein DHCP-Server läuft

Wenn kein DHCP-Server läuft, wird es etwas schwieriger. Da das Notebook keine IP-Adresse frei Haus bekommt, müssen Sie Ihrem Gerät selbst eine geben. Bevor Sie irgendwelche IP-Adressen ausprobieren, sollten Sie auf jeden Fall den Administrator fragen. Sie könnten unter Umständen das gesamte Netzwerk lahm legen, wenn Sie die IP-Adresse eines Servers erwischen.

Wenn Sie vom Administrator freundlicherweise eine IP-Adresse und die anderen Daten (Gateway, DNS, Proxy) erhalten haben, müssen Sie diese in den Netzwerkeinstellungen fest eintragen.


WLAN in der Schule

Dass in Ihrer Schule WLAN vorhanden ist, wird sich schnell herumsprechen. Spätestens wenn die ersten Schülergruppen nachmittags mit Notebooks (oder Handhelds) vor der Schule sitzen, sollten Sie sich über die Sicherheit Gedanken machen.

WPA-Verschlüsselung

Die einzige (z.Z.) wirksame Methode Ihr Funknetzwerk vor Zugriffen von aussen wirklich sicher zu machen ist der Einsatz der WPA-Verschlüsselung. Alles andere (Verstecken der SSID, MAC-Adress-Filter, WEP-Verschlüsselung, etc.) dient nur dazu, dass unbeabsichtigte Verbinden eines fremden Notebooks zu verhindern, da diese Methoden innnerhalb von Minuten geknackt werden können! Die Verschlüsselung per WPA setzt voraus, dass Sie eine oder mehrere Zeichenketten generieren und diese sowohl im AP und auf den Notebooks eintragen. Damit wird es nahezu unmöglich, in Ihr Funknetz einzudringen. Natürlich darf dieser Schlüssel den Nutzern nicht bekannt sein. Allerdings verlangsamt dies den Durchsatz Ihres Funknetzes etwas.

Wenn nun ein Gast sein Notebook einmal in Ihr Funknetz einbinden möchte, würden Sie damit Ihre Sicherheitsvorkehrungen unterlaufen. Sie sollten also Fremdgeräte selbst konfigurieren und die Einträge nach der Veranstaltung wieder entfernen. Mit einem USB-Stick stellt das kein Problem dar.

Verschlüsselung

Noch sicherer wird es, wenn die AP - und damit die WLAN-Stationen - über eine separate Netzwerkkarte mit dem Arktur-Schulserver verbunden werden und zusätzlich noch der Datenverkehr per OpenVPN verschlüsselt wird.

Wenn dann noch managebare, lernfähige Switches für die AP genutzt werden, ist Ihr Funknetz sehr sicher.

Der Aufwand für einen Angreifer sollte immer höher sein als der Nutzen, den er aus dem Angriff ziehen kann.


Sicherheit

Ein Angriff auf das Schulnetz ist per WLAN viel einfacher, da kein direkter kabelgebundener Zugang zum Netz benötigt wird.

Sie sollten die Reichweite Ihres Funknetzwerks um die Schule herum austesten, bevor Sie die Standorte für Ihre AP festlegen.

Natürlich führt auch die Abschaltung der AP außerhalb der Unterrichtszeiten zu erhöhter Sicherheit, aber Angriffe können auch tagsüber stattfinden.

Weitergehende Informationen finden Sie in der FAQ.



zurück | Hauptseite