Administratorhandbuch:Laptop

Aus Delixs
Zur Navigation springen Zur Suche springen
Uberarbeiten Diese Seite sollte nochmals überarbeitet werden. Eine Begründung befindet sich in der Regel unter Diskussion (oben).


Notebooks im Schulnetz

Mit der Verbreitung der schnellen WLAN-Standards wird der flexible Einsatz von Notebooks in der Schule zunehmen. Für Arktur stellt es keinen Unterschied dar, ob ein PC oder ein Notebook per AccessPoint und WLAN angeschlossen wird. Da auch die Verbreitung WLAN-fähiger Notebooks im privaten Bereich zunimmt ist hierbei die Gefahr des Einbindens fremder Rechner in das Schulnetzwerk größer. Diese stellen immer eine Gefahr da, da diese Geräte Viren oder ähnliches ins Netzwerk einschleppen können. Desweiteren können Sicherungsmechanismen (indentd in der logon.bat, Gruppenrichtlinien, Rechtevergaben am Client, etc.) des Schulnetzwerkes ggf. unterlaufen werden.

Im folgenden geht es darum, wie Notebooks prinzipiell eingebunden werden können und wie man sein WLAN ggf. absichern sollte.


Wenn ein DHCP-Server läuft

Wenn der DHCP-Server läuft ist es sehr einfach. Sobald das Notebook drahtigen Kontakt mit dem Netzwerk und damit auch mit dem Arktur hat, bekommt es eine IP-Adresse und alle anderen notwendige Daten vom DHCP zugewiesen. Damit wäre man schon fast fertig. Wenn das Internet auch ohne Proxy freigegeben ist, hat das Notebook sofort Zugriff auf das Internet.

Wenn das Internet nur über den Proxy zugänglich ist, müssen bei dem favorisierten Browser noch die Proxyeinstellungen eingegeben werden. Diese sollte man am besten beim Administrator erfragen oder bei einem anderen Rechner im gleichen Subnetz abschreiben. In den meisten Fällen wird aber "arktur" an Port "8080" funktionieren.

Für den drahtlosen Zugang benötigt man u.U. noch die SSID des Funknetzwerks und je nach Verschlüsselung weitere Angaben (Art der Verschlüsselung und zughehörige Key(s)). Ansonsten funktioniert es wie oben angegeben. D.h. ein Laptop auf dem Schulhof kommt genau so einfach ins Netz, wie ein PC, der per Kabel angeschlossen wird! Sie sollten deshalb auf die WLAN-Sicherheit achten!


Wenn ein Notebook immer die selbe IP bekommen soll

Wenn ein Lehrer beispielsweise immer sein Notebook im Netzwerk hat, ist es vorteilhaft, wenn dieses Notebook immer die selbe IP-Adresse zugewiesen bekommt. Diese Einstellung muss eine berechtigte Person im "Sysadm" Menü unter "Computerkonten verwalten -> Computernamen und Adressen zuweisen -> Computer neu eintragen" machen. Dort werden nach der Reihe Computername, IP-Adresse, MAC-Adresse und ein Raum abgefragt.

  • Computername: Der Name des Notebooks im Netzwerk (Nicht die Produktbezeichnung!).
  • IP-Adresse: Die IP-Adresse die das Notebook immer zugewiesen bekommen soll.
  • MAC-Adresse: Die MAC-Adresse der Netzwerkkarte. Sie ist die Physikalische Adresse der Netzwerkkarte und sollte Weltweit einmalig sein (... auch wenn manche Hersteller es damit nicht so genau nehmen).
  • Raum: Beim Arktur 4 ist es möglich das Internet raumweise zu sperren. Lehrernotebooks sollten davon ausgeschlossen sein, also am besten einen extra Raumnamen z.B. "LehrerNB" anlegen.

Wenn das eingetragen ist, müssen noch die Änderungen aktiviert werden und ab dann bekommt das Notebook immer die selbe IP-Adresse zugewiesen.

Wenn kein DHCP-Server läuft

Wenn kein DHCP-Server läuft, ist es etwas schwieriger. Da das Notebook keine IP-Adresse frei Haus bekommt, müssen Sie Ihrem Gerät selbst eine geben. Bevor Sie irgendwelche IP-Adressen ausprobieren, sollten Sie auf jeden Fall den Administrator fragen. Sie könnten unter Umständen das gesamte Netzwerk lahm legen, wenn Sie die IP-Adresse eines Servers erwischen.

Wenn Sie vom Administrator freundlicherweise eine IP-Adresse und die anderen Daten (Gateway, DNS, PROXY) erhalten haben, müssen Sie diese in den Netzwerkeinstellungen fest eintragen.


WLan in der Schule

Dass in Ihrer Schule WLAN vorhanden ist, wird sich schnell herumsprechen. Spätestens wenn die ersten Schülergruppen nachmittags mit Laptops (oder Handhelds) vor der Schule sitzen, sollten Sie sich über die Sicherheit gedanken machen.

MAC-Adresskontrolle

Wenn Sie nur die eigenen Notebooks über Funk in Ihr Schulnetz einbinden wollen, sollten Sie nur die schuleigenen Rechner mit ihrer bekannten MAC-Adresse zur Anmeldung zulassen und alle anderen ausschließen.

Diese Einstellungen nehmen Sie direkt im Administrationstool des Access-Points vor, nicht in den Arktur-Einstellungen. Lesen Sie daher bitte die Bedienungsanleitung Ihres Access-Points durch.

Beachten Sie schon beim Kauf der Access-Points, dass genügend Adressen einegegeben werden können.

Achtung: Die MAC-Adresse der Funknetzkarte eines schuleigenen Laptops kann sich vom Nutzer angezeigt werden lassen und dieser könnte dann einer fremden WLAn-Karte die gleiche MAC-Adresse geben!

Verstecken der SSID

Wenn Sie einmal im Konfigurationsmenü Ihres Access-Points sind, können Sie auch gleich die Aussendung der SSID durch den AP abschalten. Damit braucht man dann schon Insiderwissen um auf Ihren AP zugreifen zu können.

Achtung: Jeder Nutzer kann diese SSID auf jedem schuleigenen Notebook im WLAN-Kartenkonfigurationsprogramm im Klartext lesen.

Somit stellt dies keine echte Sicherheit dar, deshalb sollten Sie den nächsten Punkt beachten!

WEP und WPA

Die Verschlüsselung per WEP und WPA setzt voraus, dass Sie eine oder mehrere Zeichenketten generieren und diese sowohl im Access-Point und auf den Laptops eintragen. Damit wird es nahezu unmöglich in Ihr Funknetz einzudringen. Natürlich darf dieser Schlüssel den Nutzern nicht bekannt sein. Alledings verlangsamt dies den Durchsatz Ihres Funknetzes etwas.

Wenn nun ein Gast sein Notebook einmal in Ihr Funknetz einbinden möchte, würden Sie damit Ihre Sicherheitsvorkehrungen unterlaufen. Sie sollten also Fremdgeräe selbst konfigurieren und dies nach der Veranstaltung wieder entfernen.

Verschlüsselung

Noch sicherer wird es wenn die Access-Points, und damit die Wireless LAN Stationen über eine separate Netzwerkkarte mit dem Arktur verbunden werden und zusätzlich noch der Datenverkehr per OpenVPN verschlüsselt wird. Wenn dann noch managebare, lernfähige Switches für die Access-Points genutzt werden und Sie sich auch mit den Fähigkeiten dieser Geräte vertraut gemacht haben, ist ihr Netz nur noch per Kabel abgreifbar.

Der Aufwand für einen Angreifer sollte immer höher sein, als der Nutzen, den er aus dem Angriff ziehen kann.


zurück | Hauptseite
Abgerufen von „https://wiki.sachsen.schule/dwiki/index.php?title=Administratorhandbuch:Laptop&oldid=962