Netwerk Veiligheid

Wat voor een school beheer je? Er is nogal een verschil tussen een basisschool en een HBO-ICT.
Zowel qua budget voor beveiliging als voor de kennis van de 'hackers'.
Gebruik je wireless clients, of is het netwerk volledig bedraad.

arpwatch lijkt me omzeilbaar door een mac-adres te klonen.

Als jullie school gebruik maakt van managed switches kun je port security aanzetten en alleen de mac-adressen van de kantoor-pc's toelaten tot dat netwerk. (ook weer kwetsbaar door mac-cloning)

Een RADIUS server voor wireless authenticatie kan ook een optie zijn, waarbij ingelogd wordt met username/password.

het ook gebruikersnaam/wachtwoord afh. maken ?

en een camera ophangen om de inbrekers bij de lurven te pakken.
(edit-invoeg: toch als ze fysiek ergens moeten zijn waar ze niet mogen zijn...)

inbraak (elektronische en/of echte) is inbraak en strafbaar - vaak goed om van't school gesmeten te worden, al dan neit tijdelijk voor een paar dagen/weken.
spreek erover met de directie. dat als er geweten is wie het is, er de polite voor gebeld kan worden.
Laat dit ook weten aan de leerlingen in het algemeen:
"er blijkt dat er wordt ingebroken in het kantoor door studenten. hierdoor zijn we verplicht extra beveiliging te installeren, waaronder camera's. Als deze studenten hiermee betrapt worden, riskeren zij schorsing van de school, de rekening van alle kosten en strafrechterlijke vervolging nadat er klacht is ingediend bij de politie"

ook een gewaarschuwd student is er 2 waard, en veel 'script-kiddiess' stoppen er dan al wel mee of stoppen toch zodra er eentje tegen de lamp gelopen is.

breken ze in en gebruiken ze de reeds aanwezige computers op het kantoor?
zo ja loggen met welke account er wordt aangemeld, account-eigenaar er ook op aanspreken:
die is verantwoordelijk om zijn/haar login-gegevens prive te houden, wachtwoord laten veranderen.
(en bij inbraak politie bellen, vingerafdrukken zijn ook opspoorbaar op een keyboard)
en loggen wat er gebeurd op die pc's buiten kantoor uren, of breken ze in tijdens de uren?
-> gelijktijdig inloggen met dezelfde account op 2 pc's niet toestaan ...

of hangen ze hun eigen laptop aan een niet gebruikt patchpunt ?
niet gebruikte patchpunten ook niet aankoppelen aan het netwerk, of op een apart deel hangen met een ids en enkele fake-servers...

mogelijkheid om 'kantoor-pc's' niet enkel op een fysiek ander netwerkt te hangen maar ook op een extra vlan waarna ze pas na login met juiste login gegevens naar het juiste vlan worden gezet?
een extra laag in de beveiliging.

(ik geef hier maar enkele mogelijkheden waarheen ik zou zoeken om het op te lossen...)
indien wireless gaan voor een open wifi-net waarmee men enkel op whitelist-site's geraakt en via 1 pagina met inlog (radius?) op een wpa2 net komt (ev. met vpn) waar men dan in kantoor netwerk komt:
bruteforce hacking kan dan weer voorkomen worden door na 5 pogingen ook die inlog te blacklisten voor dat mac-adres, met automailtje naar jou (?)

[ Voor 9% gewijzigd door soulrider op 23-10-2008 03:50 ]

Als je dit soort maatregelen neemt ga je een wapenwedloop in zonder einde.

Studenten die inbreken, fysiek danwel digitaal, straffen. Schorsen, strafregels laten schrijven, van school sturen, netwerktoegang ontzeggen. Door mee te gaan in hun spel maak je het alleen maar interessanter.

je kan op je dhcp-server het mac-adres van die AP blokkeren, of op een ander subnet zetten
(en dan elk http-verkeer routen naar een intranet-site met daarop de paar regels uit het reglement dat het inbreken in het netwerk en ongeoorloofd aansluiten van apparaten op het netwerk strafbaar is met uitsluiting/schorsing)

ook zorgen dat directie het gevaar snapt hiervan en zulke regels wilt invoegen in het reglement.

(en AP telkens loskoppelen en bijhouden, onder het gedacht " 't hangt aan het netwerk van het school, dus dat wordt school-eigendom" - dan kruipt het toch deels in de centen van die leerlingen
maar als ze er niet voor terug om die telkens opnieuw aan te sluiten, dan los je het enkel op met het stellen van een voorbeeld: mbv regels voor (tijdelijke) schorsing zorgen.

en je kan toegang tot internet beveiligen mbv certificaten die enkel op de pc's staan die er ook toegang toe moeten hebben...: geen certificaten = enkel whitelist-surfing

of je kan ze rekruten en mee laten werken aan intranet-site's, security enzo waarmee ze toegang tot het internet kunnen verdienen. (ipv negatief gedrag af te straffen, beloon je positief gedrag)


maar een ids is altijd handig als zulke dingen gebeuren, genoeg freeware en opensource voor te vinden.

[ Voor 4% gewijzigd door soulrider op 23-10-2008 18:37 ]

Inderdaad, gewoon het AP (laten) weghalen en achter slot en grendel met dat ding.

Verder zou je als er managed switches aanwezig zijn idd. kunnen filteren op MAC adres of een port mirror aanzwengelen van het poortje waarin de AP wordt gedrukt (uitgaande dat het een patchpoortje in de muur is?) naar een kist die snifft.

MAC- adressen zijn niet heilig. Ook op accesspoints zijn die te wijzigen. De enige manier waarop je dit kunt oplossen, is door ze geen fysieke toegang te laten verkrijgen. Als ze eenmaal aan het netwerk hangen, is het peanuts om een firewall die mac- adressen blokkeert te omzeilen, door een mac- adres van een bekende computer aan te nemen.

TS: met je toelichting hoe je ze betrapt hebt en ze het sindsdien niet meer doen:
je kan ze er eventueel ook persoonlijk even op aanspreken wat mogelijke gevolgen kunnen/konden zijn van zulke actie's. ('s avonds op't netwerk spelen, fysieke ongeoorloofde toegang, inbraak netwerk, ...wat als een leerkracht/directie hen had gezien of ev. buren en politie?)
wederom: informeren/waarschuwen/... en ook informatie inwinnen: waarom doen/deden ze dat?
(met de no-limit-aansluitingen in .nl kan ik me niet direct iets bedenken buiten testen van het netwerk zelve en 'for the kick'/'because we can and dare')

Laat de directie algemene richtlijnen opnemen in het reglement (ev. voor het volgende schooljaar)
en zoals ik al aangaf: 't kan zijn dat je een paar goede hulpjes kunt optrommelen op deze manier
(maar zet ze niet onder dwang)
Toch zekers als ze betrouwbaar lijken, en berouw tonen. (zou ik overwegen mocht ik in jou positie zitten)

[ Voor 13% gewijzigd door soulrider op 24-10-2008 03:03 ]

Port-based security. Alle poortjes op een switch die je niet nodig hebt: niet patchen en ook uitzetten.
verder MAC-Based security dat een onbekend MAC adres niet op een poortje ingeprikt kan worden zodat ze geen eigen switch ertussen kunnen hangen.

Verder Zero-Tolerance policy. Als je iemand betrapt gelijk alle privileges ontnemen en schoolleiding inlichten.

DMV SNMP switches monitoren en bij abnormaal gedrag gelijk laten flaggen en poortje uitzetten buiten normale kantooruren!

ik had het op de policy van 'als student het netwerk gedeelte van leerkrachten en secretariaat' gebruiken
wat al een tijd gedoogd wordt kan je moeilijk terug draaien, maar dat wilt niet zeggen dat je andere dingen ook moet gaan toestaan.
dat ze hun laptop telkens heen-en-weer willen sleuren ipv hun boeken, moeten ze zelf weten, maar dat wilt niet zeggen dat jij moet toestaan dat ze die laptop aansluiten op een deel van't netwerk waar ze niets te zoeken hebben. daar moet je dus achter gaan.

mogelijk was het bv niet omdat ze die whitelist te strict vonden, maar omdat ze eens gingen proberen om bv toegang te krijgen tot de mailbox'en van de leerkrachten, of ev. voor hen afgeschermde servers waar examen- en test-vragen opgeslagen zijn met ev. oplossingen.

dat weet je niet
(en ik ook niet, want ik ken je netwerk en de beveiliging niet - maar ik vermoed dat wegens de fysieke scheiding er meer is dan enkel maar het verschil in toegestaan surfgedrag - omdat je dat laatste ook met een user-selectieve proxy kunt doen)

Flapp schreef op vrijdag 24 oktober 2008 @ 04:20:
Port-based security. Alle poortjes op een switch die je niet nodig hebt: niet patchen en ook uitzetten.
verder MAC-Based security dat een onbekend MAC adres niet op een poortje ingeprikt kan worden zodat ze geen eigen switch ertussen kunnen hangen.

Een switch heeft geen MAC- adres en MAC- adressen zijn, zoals ik al zei, makkelijk te spoofen.

Keeper of the Keys schreef op vrijdag 24 oktober 2008 @ 06:09:
Ik dacht dat MAC adressen van fysieke interfaces alleen maar door de ROM van de kaart te flashen te vervangen waren (wat een relatief lastige en gevaarlijke operatie is dacht ik)?
Bij wireless kun je voor zover ik weet wel on de fly aanpassen met de juiste tools...

Kun je gewoon in de driver (en bij sommige moederborden in het BIOS) aanpassen. Bijna elke moderne netwerkkaart kan dat wel en het is echt niet alleen voorbehouden aan wireless. Klik maar eens in Windows in Apparaatbeheer de Eigenschappen van de netwerkkaart open (tabblad 'Geavanceerd') en dan staat er in de opties vast wel iets van 'Network Address'. Even aanpassen, et viola.

Waarom ze het doen/deden? Omdat de whitelist behoorlijk restrictief is (wat de school op zich wil is dat ze hun mail kunnen checken, bank zaken regelen, evt toekomstige opleidingen onderzoeken en een beetje nieuws/sport).

Dan moeten ze dat nog altijd via het schoolbestuur spelen en niet zelf illegale handelingen gaan uitvoeren.

Port-based security zou leuk zijn maar dan moet ik eerst een managed switch hebben .

En wat reglement betreft officieel mogen ze helemaal geen laptop meenemen naar school maar dat wordt eigenlijk al jaren gedoogd.

Wat gaat port- based security helpen, als ze een andere computer uit het netwerk kunnen trekken en er zelf een router tussen smijten. Een RADIUS- server zou ook kunnen helpen zodat ze nog niet op het netwerk kunnen komen, maar dan moeten er geen wachtwoorden rondslingeren. En nee, RADIUS is niet alleen voor draadloze netwerken.

Ik zou idd een radius-enabled switch of (linux-router) nemen en desnoods met hardware tokens werken als passwords gewoon rondgeluld worden.
Docenten een USB dongletje geven, die aan die docent gekoppeld is.

Is het gedonder zo afgelopen.

Sowieso: je maakt je hier druk om een digitale inbraak op je netwerk, maar er is ook fysieke inbraak geweest. Is dat ook niet iets waar je je druk om kan maken? (en geld lospeuteren bij je directie).

Ik snap het probleem niet helemaal, die school vindt het vervelend dat er studenten zijn die toegang hebben tot internet? Is dit 1990 ofzo? En wat wou je doen tegen studenten die voor 10 euro per maand onbeperkt kunnen internetten met hun mobiele telefoon? En hoe kun je die studenten toegang geven tot alle sites die relevant kunnen zijn voor vervolgopleidingen als je gebruik maakt van whitelists?

als je die school niet kunt overtuigen dat informatietoegang in de 21e eeuw niet meer te beperken is, en je wilt dit dus echt gaan doen lijkt me MAC-toegang ruim voldoende. Die kun je spoofen, gewoon softwarematig, maar dit zal zo'n grote drempel blijken dat bijna niemand t zal doen. De enige waterdichte methode die ik kan bedenken is om een webbased (natuurlijk SSL) authenticatie uit te voeren bijvoorbeeld iedere ochtend, of als er een nieuw MAC-adres gedetecteerd wordt.

Regels zijn regels.
Als scholieren inbreken op een lan waarop private services draaien (om nog maar te zwijgen over fysieke inbraak) is dat gewoon niet netjes. Ik wil ook liever geen untrusted users in mijn prive lan hebben.

TS wil dat verhinderen, en dat is zijn goed recht.

ik zou zelfs verder gaan en zeggen dat het zijn plicht is als beheerder.

(als gaat blijken dat de studenten meer hebben gedaan dan alleen maar 'de whitelist omzeilen' - bv server-hacking, ... - dan zou ik als directie de TS verantwoordleijk stellen wegens slechte beveilging)

mar we zijn hier om tips te geven aan TS, en met de vermelde tips kan de TS al wel wat verder.
(radius kan bv mbv freeradius en een niet al te kostelijke linux-bak, en anders even voorrekenen wat een digitale inbraak kan kosten om zo wat meer geld te krijgen voor IT-security-investeringen, genoeg wegen te bewandelen)

Boudewijn schreef op zaterdag 25 oktober 2008 @ 02:22:
Regels zijn regels.
Als scholieren inbreken op een lan waarop private services draaien (om nog maar te zwijgen over fysieke inbraak) is dat gewoon niet netjes. Ik wil ook liever geen untrusted users in mijn prive lan hebben.

TS wil dat verhinderen, en dat is zijn goed recht.

hoe strenger je de regels maakt, hoe moeilijker het wordt om ze te handhaven, en hoe makkelijker het wordt voor de studenten om ze te breken.

Die studenten zijn klanten van die school! De school zou zijn best moeten doen zoveel mogelijk diensten te leveren.

Natuurlijk moet je een veilige omgeving neerzetten, maar waarom zou een student per definitie untrusted zijn, en een medewerker niet? Zeker als het lastig is om op basis van fysieke locatie onderscheid te maken tussen studenten en medewerkers, zoals hier.

Inlogprocedures om gewoon je internettoegang te activeren, zelfs met hardwaretokens lijkt mij een hele slechte balans tussen "veiligheid" en gebruiksgemak.

Er zijn regels die verbieden fysiek in te breken en met het netwerk te kloten.

Je kunt wel allerlei rare IT-toeren gaan uithalen, maar zolang er geen straf staat op het verbreken van de regels is het onbegonnen werk. In dat geval zou ik misschien zelfs een andere baan zoeken. Als je niet gebackup'd wordt door het kader sta je er alleen voor. Je zou je zelfs kunnen afvragen waarom je zoveel moeite doet. You don'y get paid enough to worry so much, dat soort dingen.

De RVD heeft zich onrechtmatig toegang verschaft tot het intranet van persbureau GPD. Nu kun je daar allerlei SSL/VPN/ID-Management/IDS-oplossingen voor aandragen, maar zolang de overtreders niet worden bestraft blijft het dwijlen met de kraan open. De RVD'ers zijn door de rechtbank veroordeeld, dat is een veel sterker signaal dan één of andere softwarematige drempel.

smokalot schreef op zaterdag 25 oktober 2008 @ 14:24:

hoe strenger je de regels maakt, hoe moeilijker het wordt om ze te handhaven, en hoe makkelijker het wordt voor de studenten om ze te breken.

Nee hoor. Sowieso als mensen al fysiek inbreken in een school om internet access te verkrijgen, dan is wat orde en handhaving daarvan echt wel op zijn plaats. Klanten? Delinquentjes bedoel je .

Natuurlijk moet je een veilige omgeving neerzetten, maar waarom zou een student per definitie untrusted zijn, en een medewerker niet? Zeker als het lastig is om op basis van fysieke locatie onderscheid te maken tussen studenten en medewerkers, zoals hier.

Daarom doe je het met een persoonsgebonden token of wachtwoord (token als docenten wachtwoorden rondkramen). Waarom je dat doet? Omdat de wereld geen disney-wereld is?
Jij hebt ook geen virusscanner\firewall?
Deze mensen hebben zichzelf een stuk vrijheid toe-geeigend en dat is niet goed. Sowieso snap ik niet wat school met onbeperkte internet-toegang te maken heeft. Met name zoiets ls youtube zou ik niet zinnig willen noemen voor op school.

Inlogprocedures om gewoon je internettoegang te activeren, zelfs met hardwaretokens lijkt mij een hele slechte balans tussen "veiligheid" en gebruiksgemak.

En waarom vind je dat? En waarom die quotes? Is een token soms niet veilig? (aangenomen dat de beheerder er een beetje zuinig op is)

Boudewijn schreef op zaterdag 25 oktober 2008 @ 14:53:
Met name zoiets ls youtube zou ik niet zinnig willen noemen voor op school.

Boudewijn schreef op zaterdag 25 oktober 2008 @ 14:53:
[...]

Nee hoor. Sowieso als mensen al fysiek inbreken in een school om internet access te verkrijgen, dan is wat orde en handhaving daarvan echt wel op zijn plaats. Klanten? Delinquentjes bedoel je .

inbreken is in dit geval niet meer dan een kantoor binnenlopen, een kantoor waar studenten ook met goede bedoelingen zouden moeten kunnen zijn. Je hebt hier niet te maken met een gevangenis, daar heb je een hele strikte scheiding tussen personeel en gevangenen, een school werkt het beste als het gezien wordt als een samenwerkingsverband tussen leerling en leraar.

[...]

Daarom doe je het met een persoonsgebonden token of wachtwoord (token als docenten wachtwoorden rondkramen). Waarom je dat doet? Omdat de wereld geen disney-wereld is?
Jij hebt ook geen virusscanner\firewall?

nee, ik heb geen virusscanner of firewall, op geen van mijn stuk of 4 computers. Voor mij zijn virusscanners en firewalls sterk verbonden aan de jaren 90, waarschijnlijk omdat ik toen nog systemen durfde te gebruiken die die dingen nodig hadden (lees: windows).

Deze mensen hebben zichzelf een stuk vrijheid toe-geeigend en dat is niet goed. Sowieso snap ik niet wat school met onbeperkte internet-toegang te maken heeft. Met name zoiets ls youtube zou ik niet zinnig willen noemen voor op school.

zoals Jungian al zegt denk ik ook dat er heel veel zinnige toepassingen zijn van youtube op een school, maar natuurlijk zijn er sites die dat ook niet zijn. Als je echter met een whitelist gaat filteren zijn er enorm veel sites die wel nuttig zijn die je gaat blokkeren. Daarnaast zijn er nog ontelbaar veel andere dingen die niet nuttig zijn op school die je niet kunt voorkomen, daarom is het onontkoombaar om uit te gaan van de goede bedoelingen van studenten, besteed je middelen aan het helpen van studenten om nuttige dingen te doen, en niet aan het beperken van eventueel onnuttige dingen.

En waarom vind je dat? En waarom die quotes? Is een token soms niet veilig? (aangenomen dat de beheerder er een beetje zuinig op is)

Je kunt studenten in deze tijd niet meer beletten om het internet op te gaan, voor een tientje per maand kun je gewoon onbeperkt internetten via je telefoon! De quotes heb ik geplaatst omdat ik vind dat het begrip veiligheid wordt uitgerekt als je daar meer onder laat vallen dan de bescherming van gegevens zoals mail, bestanden, en in dit geval bijvoorbeeld studentenadministratie en cijferlijsten. Niemand heeft er last van als studenten het netwerk kunnen gebruiken, zolang ze niet de hele infrastructuur dichtslibben natuurlijk.

smokalot schreef op zaterdag 25 oktober 2008 @ 18:11:
[...]

inbreken is in dit geval niet meer dan een kantoor binnenlopen, een kantoor waar studenten ook met goede bedoelingen zouden moeten kunnen zijn. Je hebt hier niet te maken met een gevangenis, daar heb je een hele strikte scheiding tussen personeel en gevangenen, een school werkt het beste als het gezien wordt als een samenwerkingsverband tussen leerling en leraar.

[...]

's avonds / 's nachts op 't school rondlopen en vooral in de kantoren gaan is niet echt 'samenwerken' en momenten dat men er moet zijn voor 'goede bedoelingen'. - zie alle posts van TS vooral die enkele boven mijn vorige.
(ik moet op mijn werk 's avonds ook niet zomaar binnenlopen zonder reden, en zonder te passeren via de bewaking met een zinnige uitleg, of ze komen me zoeken en eruit zetten (na controle) en daar passeer ik op zulke uren wegens vaak in het buitenland heel vaak in het weekend of de avond/nacht voordat ik weer eens vertrek. - als ik het zou wagen een rogue ap aan te sluiten moet ik er 's maandags op kantooruren niet eens meer aankomen vrees ik - op staande voet buitenblijven en blijven voor uitleg aan politie - als ze die niet direct opbellen bij vaststelling. ps: ons netwerk is zo dicht gezet door de IT dienst dat als je zelfs nog maar probeert om via een netwerkbrug of ics op je laptop je iphone via diens wifi op't net te krijgen je connectie er al uitflikkert. je mag dan bellen en beleefd uitleggen wat er gebeurd is, en vragen terug connectie te hebben - en dan is het nog goedwil van IT'er die de tel. aanpakt... bij 2de of 3de keer wil ik het niet eens weten...)

soulrider schreef op zaterdag 25 oktober 2008 @ 18:24:
[...]
's avonds / 's nachts op 't school rondlopen en vooral in de kantoren gaan is niet echt 'samenwerken' en momenten dat men er moet zijn voor 'goede bedoelingen'. - zie alle posts van TS vooral die enkele boven mijn vorige.

misschien mis ik iets hoor, maar van wat ik heb gelezen van de TS krijg ik niet de indruk dat er studenten met bivakmutsen en een koevoet 's nachts het kantoor binnengaan.

ons netwerk is zo dicht gezet door de IT dienst dat als je zelfs nog maar probeert om via een netwerkbrug of ics op je laptop je iphone via diens wifi op't net te krijgen je connectie er al uitflikkert. je mag dan bellen en beleefd uitleggen wat er gebeurd is, en vragen terug connectie te hebben - en dan is het nog goedwil van IT'er die de tel. aanpakt... bij 2de of 3de keer wil ik het niet eens weten...)

afgezien van het punt wat ik net al maakte dat jij hun klant bent, en jou dus zouden moeten helpen, doe je toch iets niet goed. Als je het goed doet kan het netwerk helemaal niet weten dat de pagina die jouw laptop opvraagt uiteindelijk wordt doorgegeven aan je iPhone.

Vroegah, toen je nog niet de keuze had voor applicaties die SSL gebruikten, er geen draadloze verbindingen bestonden, en netwerk- en internetbandbreedte extreem schaars en duur waren, toen was het nog nodig om je netwerk zelf dicht te zetten. Nu moet je gewoon zorgen dat zelfs als iemand op je netwerk zit, hij niet zomaar toegang heeft tot data. Als netwerk- en internetinfrastructuur nu overbelast raken is het goedkoper meer capaciteit te kopen, in plaats van iemand in te huren die probeert toegang te beperken voor een groep die zowel fysiek als sociaal heel veel middelen hebben om daaromheen te werken.

smokalot schreef op zaterdag 25 oktober 2008 @ 19:00:
misschien mis ik iets hoor, maar van wat ik heb gelezen van de TS krijg ik niet de indruk dat er studenten met bivakmutsen en een koevoet 's nachts het kantoor binnengaan.

In de OP staat dat de studenten in het kantoor inbreken.

Vroegah, toen je nog niet de keuze had voor applicaties die SSL gebruikten, er geen draadloze verbindingen bestonden, en netwerk- en internetbandbreedte extreem schaars en duur waren, toen was het nog nodig om je netwerk zelf dicht te zetten. Nu moet je gewoon zorgen dat zelfs als iemand op je netwerk zit, hij niet zomaar toegang heeft tot data. Als netwerk- en internetinfrastructuur nu overbelast raken is het goedkoper meer capaciteit te kopen, in plaats van iemand in te huren die probeert toegang te beperken voor een groep die zowel fysiek als sociaal heel veel middelen hebben om daaromheen te werken.

Erg mee oneens. Het gaat niet zozeer om gebrek aan capaciteit, maar om de verantwoordelijkheid die je draagt voor het gebruik van je netwerk. Als de inbrekende student het gebruikt voor spammen of andere acties die blacklisting tot gevolg kunnen hebben, dan hebben heel veel andere mensen daar overlast van. En dan hebben we het nog niet over de mogelijkheid van allerlei andere ergere dingen.

Er is dus wel degelijk een beperkende beveiliging nodig. Als die studenten prive-internet willen, dan doen ze dat maar in hun prive-tijd en gebruik makende van hun prive-verbinding.

gambieter schreef op zaterdag 25 oktober 2008 @ 19:05:
[...]

In de OP staat dat de studenten in het kantoor inbreken.

ja, en er staat ook ergens dat ze dat deden op het moment dat er geen personeel was. Ik zie nergens staan dat ze fysiek iets geforceerd hebben, of dat het na sluitingstijd was. Als die fysieke toegang zo makkelijk was te beveiligen zou de school dat neem ik aan als eerste gedaan hebben. Ik kan me heel goed voorstellen dat de school leraren, en daarmee dus ook hun werkplekken, toegankelijk wil houden voor leerlingen.

Erg mee oneens. Het gaat niet zozeer om gebrek aan capaciteit, maar om de verantwoordelijkheid die je draagt voor het gebruik van je netwerk. Als de inbrekende student het gebruikt voor spammen of andere acties die blacklisting tot gevolg kunnen hebben, dan hebben heel veel andere mensen daar overlast van. En dan hebben we het nog niet over de mogelijkheid van allerlei andere ergere dingen.

Poort 25 naar buiten toe dichtzetten, en alles via je eigen smtp server laten gaan, eventueel met authenticatie. Dat houdt virussen in ieder geval tegen.

Er is dus wel degelijk een beperkende beveiliging nodig. Als die studenten prive-internet willen, dan doen ze dat maar in hun prive-tijd en gebruik makende van hun prive-verbinding.

Ik wilde m eigenlijk bij het vorige punt zetten, maar hier past ie ook erg goed: wat is dan het verschil met de medewerkers? Waarom mogen die wel prive-internet in hun werktijd met niet werkverbinding? En waarom zou je die wel vertrouwen dat ze geen spam sturen, of "andere ergere dingen"?

Ik denk dat het neerzetten van een accesspoint, waarop alle studenten kunnen inloggen met hun username en password, met evt blacklist filtering, iedere motivatie wegneemt bij de studenten om "in te breken".

Dat studenten niet te dwingen zijn tot nuttige bezigheden is een sociaal probleem, wat je niet technisch op kunt lossen, en zelfs al zou het kunnen moet je daarbij bedenken dat studenten ook moeten leren om daar mee om te gaan!

Ik hoop voor de paar studenten die nu de boel proberen te "hacken" dat TS overgaat tot die drastische maatregelen, puur om ze uit te dagen. Ik hoop voor de studenten die gewoon hun best willen doen om zichzelf goed op te leiden dat ze een access point installeren met zo min mogelijk restricties.

smokalot schreef op zaterdag 25 oktober 2008 @ 21:04:
Ik wilde m eigenlijk bij het vorige punt zetten, maar hier past ie ook erg goed: wat is dan het verschil met de medewerkers? Waarom mogen die wel prive-internet in hun werktijd met niet werkverbinding? En waarom zou je die wel vertrouwen dat ze geen spam sturen, of "andere ergere dingen"?

Stel je deze vraag echt serieus? Dan kan ik me bijna niet voorstellen dat je met studenten/scholieren te maken hebt (gehad). Bij medewerkers gaat het om hun baan, bij scholieren niet, die kunnen hoogstens even van school gesturud worden. Er is een heel groot verschil tussen leraren/medewerkers en scholieren/studenten; de eerste categorie wordt betaald om te werken, de tweede niet.

Ik denk dat het neerzetten van een accesspoint, waarop alle studenten kunnen inloggen met hun username en password, met evt blacklist filtering, iedere motivatie wegneemt bij de studenten om "in te breken".

Volgens mij draai je de zaak nu om: geef ze maar alles wat ze willen en waar ze geen recht op hebben, dan misdragen ze zich niet en gaan ze het niet pakken. De scholieren hebben helemaal geen recht op dat AP of WLAN, en hebben het ook niet perse nodig.

Ik hoop voor de studenten die gewoon hun best willen doen om zichzelf goed op te leiden dat ze een access point installeren met zo min mogelijk restricties.

Als ze een goede businesscase kunnen maken waaruit blijkt dat WLAN nodig is voor hun studie, dan zal de school deze echt wel aanleggen. Als die businesscase er niet is.... nuff said.

gambieter schreef op zaterdag 25 oktober 2008 @ 21:18:
[...]

Stel je deze vraag echt serieus? Dan kan ik me bijna niet voorstellen dat je met studenten/scholieren te maken hebt (gehad). Bij medewerkers gaat het om hun baan, bij scholieren niet, die kunnen hoogstens even van school gesturud worden. Er is een heel groot verschil tussen leraren/medewerkers en scholieren/studenten; de eerste categorie wordt betaald om te werken, de tweede niet.

Ik ben zelf student, en ben zelf scholier geweest. Een onderwijsinstelling draait om de studenten, die proberen om zichzelf te vormen, en het personeel van de school helpt ze daarbij. Het gaat hier om 18-20 jaar oude studenten, die zijn dus niet meer leerplichtig, en hebben dus alleen zichzelf ermee als ze niet voldoende nuttige dingen voor hun schoolwerk doen. Als iemand spam stuurt of "andere ergere dingen" kunnen ze strafrechtelijk vervolgd worden. Dat geldt voor studenten en voor medewerkers, en ik zie niet in waarom studenten daar meer behoefte aan zouden hebben dan medewerkers.

[...]
Volgens mij draai je de zaak nu om: geef ze maar alles wat ze willen en waar ze geen recht op hebben, dan misdragen ze zich niet en gaan ze het niet pakken. De scholieren hebben helemaal geen recht op dat AP of WLAN, en hebben het ook niet perse nodig.

ik denk dat het erg moeilijk is om een goede onderwijsinstelling te zijn zonder verregaande toegang tot informatie. Het is onwenselijk, en onmogelijk om mensen toegang tot het internet op school te ontzeggen, en dus is iedere poging om het te proberen gedoemd om te falen.

Als ze een goede businesscase kunnen maken waaruit blijkt dat WLAN nodig is voor hun studie, dan zal de school deze echt wel aanleggen. Als die businesscase er niet is.... nuff said.

Ik denk dat scholen in het algemeen erg conservatief zijn met dit soort dingen, de schoolleiding heeft hun eigen opleiding over het algemeen volledig zonder internet gedaan, en er wordt teveel gefocust op mogelijk misbruik, in plaats van op de mogelijkheden tot productief gebruik. En daarom stel ik TS voor dat hij probeert de schoolleiding bij te praten naar de 21e eeuw.

Maar goed, laten we erover ophouden en de technisch interessante vraag op te lossen die de TS stelt: stel dat je zoiets toch zou willen, hoe zou je dit dan kunnen handhaven? En welke balans tussen veiligheid, gebruiksgemak en beheersgemak moet hier gekozen worden?

smokalot schreef op zaterdag 25 oktober 2008 @ 19:00:
[...]

misschien mis ik iets hoor, maar van wat ik heb gelezen van de TS krijg ik niet de indruk dat er studenten met bivakmutsen en een koevoet 's nachts het kantoor binnengaan.

[...]

maar ontopic terug: ik denk dat er ondertussen al wel enkele voorstellen zijn gebeurd die werkbaar kunnen zijn. Als TS hier even naar kan kijken en eventueel feedback kan geven welke niet/wel werkbaar is met een eventuele redenering erbij, dan is het voor ons allen makkelijker.
(met bv Radius en dergelijke opzet kan je ook per student de toegang gaan bepalen en dus afh. van opleiding gaan filteren, leer je ze verantwoordleijkheid ivm account-gegevens, en merk je ook zo wie vaak 'prive' surft en wie niet - kan je zelfs gaan werken met 'toegangsbeloning/straffing')