Administratorhandbuch:Laptop
Nach Meinung des Autors ist diese Seite fertig. Es wäre schön, wenn ausgiebige Tests durch viele Nutzer eventuell noch vorhandene Fehler beseitigen helfen. |
Notebooks im Schulnetz
Mit der Verbreitung der schnellen WLAN-Standards wird der flexible Einsatz von Notebooks in der Schule zunehmen. Für Arktur stellt es keinen Unterschied dar, ob ein PC mittels Netzwerkkabel oder ein Notebook per Access Point und WLAN angeschlossen wird. Da auch die Verbreitung WLAN-fähiger Notebooks im privaten Bereich zunimmt, ist hierbei die Gefahr beim Einbinden fremder Rechner in das Schulnetzwerk größer. Durch fremder Rechner können Viren oder ähnliches ins Netzwerk der Schule eingeschleppt werden. Des weiteren können Sicherungsmechanismen (indentd in der logon.bat, Gruppenrichtlinien, Rechtevergabe am Client, etc.) im Schulnetzwerk unterlaufen werden.
Im Folgenden geht es darum, wie Notebooks prinzipiell eingebunden werden können und wie Sie das schulische WLAN absichern können.
Wenn ein DHCP-Server läuft
Wenn der DHCP-Server läuft, ist die Einbindung sehr einfach. Sobald das Notebook drahtigen Kontakt mit dem Netzwerk und damit auch mit dem Arktur hat, bekommt es eine IP-Adresse und alle anderen notwendigen Daten vom DHCP-Server zugewiesen. Damit wäre man schon fast fertig. Wenn das Internet ohne Proxy freigegeben ist, hat das Notebook auch sofort Zugriff auf das Internet.
Wenn das Internet nur über den Proxy zugänglich ist, müssen bei dem favorisierten Browser noch die Proxyeinstellungen eingegeben werden. Diese sollte jeder Nutzer am besten beim Administrator erfragen oder bei einem anderen Rechner im gleichen Teilnetz abschreiben. In den meisten Fällen wird aber "arktur" an Port "8080" funktionieren.
Für den drahtlosen Zugang benötigt jeder Nutzer noch die SSID des Funknetzwerks und je nach Verschlüsselung weitere Angaben (Art der Verschlüsselung und zugehörige Key's). Ansonsten funktioniert die Einbindung wie oben beschrieben.
Achtung: Ein Laptop auf dem Schulhof kommt genau so einfach ins Netz wie ein PC, der per Kabel angeschlossen wird! Sie sollten deshalb auf die WLAN-Sicherheit achten!
Wenn ein Notebook immer die selbe IP-Adresse bekommen soll
Wenn ein Lehrer beispielsweise immer sein Notebook im schulischen Netzwerk hat, ist es vorteilhaft, wenn es immer die gleiche IP-Adresse zugewiesen bekommt. Dazu notieren Sie folgende Angaben:
- Computername: Der Name des Notebooks im Netzwerk (nicht die Produktbezeichnung!).
- IP-Adresse: Die IP-Adresse, die das Notebook immer zugewiesen bekommen soll.
- MAC-Adresse: Die MAC-Adresse der Netzwerkkarte.
- Raum: Beim Arktur 4 ist es möglich, das Internet raumweise zu sperren. Lehrernotebooks sollten davon ausgeschlossen sein, also am besten einen extra Raumnamen z.B. "LehrerNB" anlegen.
Jetzt können Sie diese Daten nach der Anleitung im Kapitel Adress- und Namensvergabe im Installationshandbuch eintragen.
Wenn kein DHCP-Server läuft
Wenn kein DHCP-Server läuft, wird es etwas schwieriger. Da das Notebook keine IP-Adresse frei Haus bekommt, müssen Sie Ihrem Gerät selbst eine geben. Bevor Sie irgendwelche IP-Adressen ausprobieren, sollten Sie auf jeden Fall den Administrator fragen. Sie könnten unter Umständen das gesamte Netzwerk lahm legen, wenn Sie die IP-Adresse eines Servers erwischen.
Wenn Sie vom Administrator freundlicherweise eine IP-Adresse und die anderen Daten (Gateway, DNS, PROXY) erhalten haben, müssen Sie diese in den Netzwerkeinstellungen fest eintragen.
WLAN in der Schule
Dass in Ihrer Schule WLAN vorhanden ist, wird sich schnell herumsprechen. Spätestens wenn die ersten Schülergruppen nachmittags mit Laptops (oder Handhelds) vor der Schule sitzen, sollten Sie sich über die Sicherheit Gedanken machen.
MAC-Adresskontrolle
Wenn Sie nur die eigenen Notebooks über Funk in Ihr Schulnetz einbinden wollen, sollten Sie nur die schuleigenen Rechner mit ihrer bekannten MAC-Adresse zur Anmeldung zulassen und alle anderen ausschließen.
Diese Einstellungen nehmen Sie direkt im Administrationstool des Access Points vor, nicht in den Arktur-Einstellungen. Lesen Sie daher bitte die Bedienungsanleitung Ihres Access Points durch.
Beachten Sie schon beim Kauf der Access Points, dass genügend Adressen eingegeben werden können.
Achtung: Die MAC-Adresse der Funknetzkarte eines schuleigenen Laptops kann sich jeder Nutzer anzeigen lassen. Er könnte dann einer fremden WLAN-Karte die gleiche MAC-Adresse geben!
Verstecken der SSID
Wenn Sie einmal im Konfigurationsmenü Ihres Access Points sind, können Sie auch gleich die Übermittlung der SSID durch den Access Point abschalten. Damit braucht ein Hacker dann schon Insiderwissen, um auf Ihren AP zugreifen zu können.
Achtung: Jeder Nutzer kann diese SSID auf jedem schuleigenen Notebook im WLAN-Kartenkonfigurationsprogramm im Klartext lesen.
Wichtig: Das Verstecken der SSID führt auch im regulären Betrieb öfter zu Problemen.
Somit stellt das Verstecken der SSID keine echte Sicherheit dar.
WEP und WPA
Die WEP-Verschlüsselung sollten Sie nicht einsetzen, da sie in wenigen Minuten von jedem Laptop aus geknackt werden kann.
Die Verschlüsselung per WPA setzt voraus, dass Sie eine oder mehrere Zeichenketten generieren und diese sowohl im Access Point und auf den Laptops eintragen. Damit wird es nahezu unmöglich, in Ihr Funknetz einzudringen. Natürlich darf dieser Schlüssel den Nutzern nicht bekannt sein. Allerdings verlangsamt dies den Durchsatz Ihres Funknetzes etwas.
Wenn nun ein Gast sein Notebook einmal in Ihr Funknetz einbinden möchte, würden Sie damit Ihre Sicherheitsvorkehrungen unterlaufen. Sie sollten also Fremdgeräte selbst konfigurieren und die Einträge nach der Veranstaltung wieder entfernen. Mit einem USB-Stick stellt das kein Problem dar.
Verschlüsselung
Noch sicherer wird es, wenn die Access Points - und damit die WLAN-Stationen - über eine separate Netzwerkkarte mit dem Arktur-Schulserver verbunden werden und zusätzlich noch der Datenverkehr per OpenVPN verschlüsselt wird.
Wenn dann noch managebare, lernfähige Switches für die Access Points genutzt werden, ist Ihr Funknetz sehr sicher.
Der Aufwand für einen Angreifer sollte immer höher sein als der Nutzen, welchen er aus dem Angriff ziehen kann.
Sicherheit
Ein Angriff auf das Schulnetz ist per WLAN viel einfacher, da kein direkter kabelgebundener Zugang zum Netz benötigt wird.
Sie sollten die Reichweite Ihres Funknetzwerks um die Schule herum austesten, ehe Sie die Standorte für Ihre Access Points festlegen.
Natürlich führt auch die Abschaltung der Access-Points außerhalb der Unterrichtszeiten zu erhöhter Sicherheit.