私は小さな学校 K-12 の教師とIT担当者です。
学生は、電話、ラップトップ、またはネットワークへのアクセスを前提としていません。ただし、学生は学生であるため、ルールを回避する方法を見つけようとします。
生徒たちは、Wi-Fiパスワードを変更するとすぐに、なんとかして取得できます。彼らにとってはゲームになります。想定されていませんが、ノートパソコンと電話を持ち込み、ネットワークを使用します。そのうちの1人はパスワードを取得し、学校全体で山火事のように移動します。それは、他の生徒が更新されたパスワードを入手できる壁にそれを書くのと同じくらい簡単な場合があります。
それらをネットワークから遠ざけるために私たちは何ができますか? MACアドレス の入力を検討していますが、これは非常に面倒であり、アドレスを偽装した場合の成功を保証するものではありません。
何か提案はありますか?
背景:
50年前の建物(たくさんのコンクリート壁)に4つのルーターがあります。階下に1台、上階に3台のルーター。それらは異なるブランドおよびモデル(Netgear、Asus、Acer、D-Link)であるため、集中管理はありません。
学校には約30の Chromebooks と同様の数のiPadがあります。教師は自分のラップトップ(Windows Vista、Windows 7、Windows 8の組み合わせ、および多数のMac OS X)を使用します。
一部の教師はテクノロジーにまったく慣れておらず、生徒がアクセスできるマシンを部屋に残します。多くの場合、教師はパスワードをオフのままにするか、必要なときにパスワードを生徒に渡します。彼らは例えばプロジェクターをセットアップするとき学生に助けを求めて、彼らに任せます、再び安全が行きます。先生が部屋を出てすぐに、タスクバーに移動してWi-Fiルーターのプロパティを確認し、パスワードを取得します。
最初に行う必要があることは、ネットワークで許可されているデバイスの概要を示すポリシーを書面にしておくことです。ただし、ポリシーの施行に一貫性がない場合、それは役に立ちません。
これは、コンピューターがコンピューターに存在しないときにコンピューターをロックすることを含む、教師の使用ポリシーもカバーする必要があります。 グループポリシー を使用して、ユーザーがWiFiパスワードを表示できないようにすることもできます。
以下は、学校のネットワークで生徒のデバイスの使用を制限するためのさまざまなオプションで構成されています。最も効果的なのはWPA2エンタープライズです。他のものは、学生による不正アクセスを制限するのに十分効果的であり、特定のネットワークによっては実装が容易な場合があるため、含まれています。
ただし、質問は学生が組織のメインネットワーク上にいることを示唆しています。許可されていないデバイスの攻撃からネットワークを適切に保護するのはWPA2-Enterpriseだけです。 PSKが判明すると、生徒は教師のWebトラフィックを傍受し、電子メールとウィンドウハッシュをキャプチャすることができます。さらに、悪意のあるユーザーが他のマシンを直接攻撃する可能性があります。
最適なソリューションは、事前共有キー(WPA2-PSK)を使用する代わりに、WPA2-エンタープライズを実装することです。これにより、個々の資格情報を発行できます。これは、各マシンにクライアント証明書をインストールすることで実装されます。これには十分なエンジニアリングが必要であり、大規模な環境でセットアップするのは簡単ではありません。 このページ は、WPA2-Enterpriseの展開方法に関するいくつかの良い指針を持っています。
@ Steve Sether で述べたように、 Chillispot キャプティブポータルを使用して、ネットワークに接続したユーザーを認証できます。指摘する証拠はありませんが、そのようなポータルはMACアドレスとIPアドレスのスプーフィングによってバイパスされる可能性があると思います。ただし、複数のデバイスでのMACフィルタリングよりも困難であり、管理が容易になります。
おっしゃったように、MACアドレスはスプーフィングされる可能性があるため、MACアドレスフィルタリングの効果は限られています。ただし、多くの電話機ではMACアドレスのスプーフィングが防止されているため、問題のある一部のユーザーに対処できます。 たとえば、iPhoneは、MACアドレスを変更する前にジェイルブレイクする必要があります 。 MACアドレスフィルタリングを使用する際の最も難しい部分は、特にさまざまなベンダーの複数のデバイス間で許可されたMACアドレスのリストを管理することです。
また、MACアドレスフィルタリングまたはキャプティブポータルを使用することには「法的な」メリットがあると私は主張します。パスワードがホワイトボードに書かれている場合、ユーザーがネットワークへのアクセスを許可されていないと主張するのは難しい場合があります。ただし、ユーザーがセキュリティ制限を明示的にバイパスする必要がある場合は、アクティビティに対してより強いケースがあります。
独自の秘密鍵を使用するHTTPSソリューションを実装します。対応する証明書を組織のマシンにインストールすることができ、彼らは何も異なることに気づきません(組織は依然としてHTTPS傍受が発生していることをスタッフに伝えるべきです)ただし、証明書のない無許可のデバイスは、安全なページを閲覧しようとすると、HTTPSが無効であるという不快なメッセージを受け取ります。さらに、HTTPSトラフィックを復号化しているため、トラフィックを監視できます。たとえば、どの生徒がFacebookにログインしているかを確認すると、それらの生徒に直接対処することができます。
多くのコンテンツコントロールの実装は、HTTPSトラフィックを復号化する機能を提供します。学校にコンテンツコントロールメカニズム(BluecoatやNet Nannyなど)が既に導入されている場合は、この機能の実装方法についてベンダーに相談してください。
あなたは間違った問題を解決しようとしています。
彼らは数千人で、あなたは1人です。あなたはセキュリティの専門家ではないので(私が理解している限り、私が間違っているとすみません)、どちらもそうではありませんが、彼らは大群なので、あなたは負けざるを得ません 通常の戦争と戦った場合 。
@ AviDはコメントで素晴らしい答えを出しました:
これは非技術的なアイデアです:これは学校ですよね?だから彼らを教育する。結果、容認できる使用法、ハッキングの違法性の重要性を彼らに教えてください...そしてはい、インターネットの適切な使用。つまり、必要に応じて別のフィルター済みネットワークにアクセスできるようにし、その周りにカリキュラムを作成します。クラス、インターネットの安全性、あらゆるAUPへの厳密な準拠など...ネットワークへのアクセスを許可し、それを使用してインターネットの良き市民であることを教えます。そして、彼らの教育を支援するためにインターネットを生産的に使用する方法。
彼らがアクセスできないようにする戦争に勝てないだけでなく、たとえあなたがそうしたとしても、あなたは何も達成しなかったでしょう:彼らはまだ彼らのデバイスを持っています、彼らはまだちょうど異なる方法で気を取られます。
さらに、あなたをハッキングすることは、「問題解決」において彼らに貴重な教訓を教えるでしょう、と私たちは言うかもしれません。これがあなたが彼らに解決してもらいたい種類の問題ではないなら、より良い、より面白いまたは有用な問題を見つけてください。
実現可能であったとしても(そうではないと思います)、デバイスの持ち込みをまったく禁止しないことも良い解決策ではないことに注意してください。デバイスを手元に用意し、使用しないことを学ぶ必要があります。代わりにレッスン。 彼らがこのレッスンを学ばなければ、将来彼らは社会的にも仕事中でも同じ問題を抱えるでしょう。
最後に、彼らがあなたのレッスンを守らないように管理でき、それでも良い成績を得ることができる場合、問題はここにある可能性があります。テストは簡単すぎますか、それともごまかしすぎですか。あなたのレッスンは役に立たないのですか?これがポイントです。一方、彼らがテストに不合格だった場合、彼らはおそらくレッスンに従うことが彼らの成功を助けることに気づくかもしれません/するべきです…
DDPWNAGEが正しく指摘するように:
これは2015年ですよね?私の意見では、学生はインターネットへの制限付きアクセスを許可されるべきです。あなたが高校の教師である場合は、インターネットを使用することについてクラスを教えることができるかどうか学校に尋ね、いくつかの基本的なコンピューティングクラスを教えます。ますます多くの子供たちがこれらの主題に関心を寄せており、高校で学習したプログラミング言語は、後で子供たちを大学で数千人救うことができます。私は今週の金曜日にHSを卒業し、Objective-Cをロジックとして使用するiOSゲームを発表します。ちょうど子供たちが話題にとどまるようにし、彼らは素晴らしいことを行うことができます。
イーサネット
IPadにイーサネットポートがないと言う人すべてに怒られる前に、これは単に「セキュリティ」の単一層にすぎません。
ほとんどの場合、教師はラップトップを物理イーサネットBASE-100TX CAT5 +の普通の物理ケーブルで使用できるはずです。
攻撃対象領域が減少します(キーが教師のラップトップに存在しなくなるため)。
さらに、学生が物理的なCAT5にアクセスできるようになると、悪用するのが難しくなります(ケーブルに接続されている物理的なデバイスを確認でき、ほとんどの電話にはRJ45ソケットがありません)。
パスワードがそのように漏洩している場合は、Wifiアクセスを制限するよりも大きな問題がある可能性があります。まるで子供たちが教師ができるほとんどすべてのこと(試験結果の操作を含む?)を行うことができ、あなたの場所で日常的にそうしているように聞こえます。
リークの原因を絞り込むためにいくつかの探偵の仕事の後、少し教師の教育がこれを解決するかのように聞こえます。それは人為的エラーではなくハッキングされたコンピューターまたはルーターである可能性があるため、私は厳格なことを主張していません。いくつかのログをインストールするか、教師に個別のパスワードを(一時的に)与えます。
おそらく、教師が大人から助けを借りたり、子供が助けている場合はゲストアカウントを使用したりするのも簡単になりますか?
許可された各ユーザーに独自の個別のパスワードを与えます。次に、リークがどこから発生しているのかを判断する立場になります(亀裂ではなくリークが発生していると仮定します)。 (たとえば、パスワードを書き留めて机の上に残さないように教育スタッフの1人を教育する必要があることに気付く場合があります)。
ほとんどのインターネットへのアクセスをブロックする厳しいファイアウォールルールを設定します。最小限のアクセス可能なサイトのみを残してください。 (たとえば)Facebookへのアクセスが許可されない場合、学生は接続の試行をあきらめることがあります。承認されたユーザーは、必要に応じて、サイトのブロックを解除するように簡単に要求できます。ブロックをワイヤレス接続のみに適用するように構成することもできます。これにより、有線接続で1日中自分のコンピューターのデスクにいる管理スタッフに不便をかけることはありません。
設備のアップグレードを検討してください
予算を必要としないソリューションを探していることは承知していますが、エンタープライズグレードのWAPと中央コントローラーの対応するセットを使用すると、ネットワークのセキュリティ保護が容易になります。ネットいじめ、従業員への嫌がらせ、またはテストスコアの改ざんを促進するための訴訟から守るためのコストと比較検討してください...
MACフィルタリングを使用
MACアドレスを収集すると、アカウントと機器を保護するための期待について、各スタッフに話を変えることができます。 MACアドレス、ハードウェアシリアル番号、および学校所有の機器に関するその他の情報のリストも、盗難に遭っていないことを証明するために重要です。
DHCPをハニーポットにする
管理可能な範囲からスタッフメンバーのデバイスに静的IPアドレスを割り当て、適切なインターネットへのアクセスを許可します。認識されないMACアドレスの異なる範囲からアドレスを提供するようにDHCPを構成し、DNATリダイレクトを設定して、そのIPアドレス範囲からのアクセス時にユーザーに表示される静的なWebページのみが指示されるようにします。
「このネットワークはXXXの学校によって運営されており、アカデミックな使用のみが許可されています。このページが誤って表示されていると思われる場合は、XXX室のマックイーンさんにご連絡ください。」
結果を強制する
学生が電話やラップトップを持っていることになっていない場合は、それを実施してください。最初の違反は、デバイスをすぐに没収し、親がそれを手に取るようにします。 2番目の違反、同じドリル、学生が薬物や武器で捕まったかのように、学生を一時停止します。電話を学校との間でやり取りする必要がある生徒(高校の場合は、仕事用や通勤用の電話が必要かもしれません)は、就業前に秘書に電話をかけ、後でそれ。
技術的なセキュリティではなく、人間のセキュリティを強化する必要があります。 WiFiパスワードは十分です。実際の質問は、「パスワードを学生に漏らしているのは誰ですか?」および「パスワードを停止する方法」です。特権のある人(スタッフ)がブロックしようとしている資格情報と資格情報を共有している場合、セキュリティは確保できません。
一人一人に異なるパスワードを設定することは、自分のパスワードを明かす人をロックアウトすることができるようにするのに役立つだけです。そして、長くて面倒なアクセス復旧手順を採用することにより、徐々に注意を払うように指導します。D
//編集:質問をもう一度読んだ後、パスワードがどのように漏洩するかについてはすでにおっしゃっています。
Some of the teachers are not at all comfortable with technology
だから、私はあなたに極端な手段を提案することができます:
次に、テクノロジーを変更してください! Wi-Fiは複雑で混乱を招きます。ケーブルと交換してください。ケーブルはシンプルで理解しやすいです。1つを差し込むと、ライトが点滅し始め、インターネットが機能します。 Wi-Fiを物理的にシャットダウンすることはお勧めしません。ほとんどの教師はそれを直接使用するべきではないので、パスワードを知る必要がないことを単に私は提案します。
どこかでケーブルを入手できない場合は、クライアントモードのシンプルなアクセスポイントがイーサネットジャックを提供します。管理パネルのパスワードでは、このAPが「バックボーン」Wi-Fiをどのように承認するかを知るのが非常に難しくなります。
ChromebookとiPadの場合は、使用する部屋に専用Wi-Fiを設定します。クラスごとにパスワードを変更し、次のクラスの開始時に新しいパスワードを発表することができます。
私はWPA2-Enterpriseを使用するので、誰もが同じパスワードだけでなく、全員が自分の名前とパスワードを使用します。 WPA2-Enterpriseをセットアップするには、RADIUSサーバーが必要です。最も安い意見は、NASサーバーを購入することです。 RADIUSときどきすぎます(これにはSynologyをお勧めします)。
代替手段は、いくつかのホットスポットシステムを使用してログインを要求することですが、すべてのルーターがこれをサポートしているわけではなく、かなり高価です。
言及されているMACフィルターとDHCPトラップは、主要なセキュリティではありません。ルーターにすべてのアドレスを登録しておく必要があるため、独自のデバイスを持ち込むことはできません。次に、MACフィルターとDHCPトラップは、約5〜15分でクラッキング可能になります。
最後の段落まで:誰かがこれを間違っていると教師に言うべきです。非アクティブな状態やその他の多くのことを行った後でデバイスのロックを設定できますが、パスワードを知らない人にパスワードを教えるのをやめる効果的な方法はありません。また、定期的にパスワードを変更する必要があります。
しかし、私はすべてをこのように見ています。ハッカー(学生)を止める方法はありません。ハッキングを難しくすることしかできません。
Google Authenticator(GA)( https://github.com/google/google-authenticator )のようなRFC 6238を使用するキャプティブポータルを設定します。 GAにはPAMモジュールがあります。各従業員にアプリをインストールしてもらい、ITオフィスに直接来て、自分のアカウントをアプリに設定(同期)してもらいます。
認証トークンを唯一の、または2番目の要素として使用します。 QRコードや秘密が漏洩した場合、混乱に戻りますが、それを封じ込めることができるはずです。
Google Authenticatorの代わりにurQui( http://urqui.com/web/ )を使用することもできます
私は、ほとんどのパブリックWi-Fiソースの機能を実行することをお勧めします。また、個々のユーザー名とパスワードを使用してWebサイトでの認証を要求します。 [〜#〜] wpa [〜#〜] パスワードも使用して、カジュアルなスニッフィングからの保護を提供します。
これは無料の DD-WRT ルーター、具体的には ChiliSpot と呼ばれるソフトウェアを介して利用できます。その後、サードパーティのプロバイダーを使用してユーザーの認証を処理できます。
ChilliSpotは、オープンソースのCaptive_PortalワイヤレスまたはLANアクセスポイントコントローラです。ユーザーの認証に使用されます。パブリックホットスポットの今日の標準であるWebベースのログインをサポートしています。認証、承認、アカウンティング(AAA)は、オンラインプロバイダー、または提供するローカルRADIUSサービスによって処理されます。
その後、各教師は個別にログインします。パスワードは依然として「漏洩」する可能性がありますが、このサービスはアカウンティングも提供しているため、1人のユーザーのパスワードを簡単に変更でき、パスワードの漏洩の責任者を特定できます。現在、事前共有キーを変更することは多くの人に伝達する必要があるため、大きな苦痛になると思います。そのため、頻繁に行うことはないと思います。また、ユーザー名とパスワードを入力すると、WPAパスワードを共有するだけではなく、ハッキングのように感じられます)。このため、この1つの変更でも、不正行為を減らすことができます。個々のログインが漏洩した場合。
MACアドレスフィルタリングは、教師が新しいデバイスをネットワークに接続するたびにメンテナンスの悪夢になるため、推奨しません。もちろんそれは可能ですが、それだけの価値はありません。また、MACアドレスのスプーフィングは比較的簡単であり、発見されると、誰もがそれを行う方法を知るまでに時間の問題になります。
私はあなたがすでに「強制」オプションを考えていて、あなた自身の理由でそれを拒否したと仮定しています。良い。学校が、学ぶ場所というより刑務所のようになる道を進んでいけないことを願っています。
パスワードを教えない方法を見つけてください。私はこのツールの経験はありませんが、SpiceWorksには無料のモバイルデバイス管理プログラム http://www.spiceworks.com/free-mobile-device-management-mdm-software/ があります。これを使用して、接続を許可されているすべてのコンピューターにWPA2パスワードを配布します。生徒がインストーラーを手に入れても、パスワードを取得する前にデバイスを承認する必要があるように設定できるので、生徒の役に立ちません。
IEEE 802.1Xは、ポートベースのネットワークアクセスコントロール(PNAC)の標準です。LANまたはWLANに接続したいデバイスに認証メカニズムを提供します。
さまざまな方法でセットアップできるため、機器とニーズを確認する必要がありますが、一般的なユースケースは、すべてのユーザー(スタッフ)がADアカウントを持っているMS ActiveDirectoryがある場合です。次に、RADIUSサーバーをセットアップすると、ユーザーは通常のドメイン資格情報で認証され、ネットワークにアクセスできます。
ここに別の戦略があります。以下を想定することから始めましょう。
このすべてを踏まえて、ユースケースに適合すると私が思う唯一の解決策は、頻繁に変更されるパスワードです。確かに、実装は少し難しいかもしれませんが、不可能ではありません。
最初に、あなたのユースケースで何がうまくいくかを考えてみましょう。それから、それを実装する方法を心配することができます。必要なのは、有効期限付きのパスワードを生成するシステムです。たとえば、誰かがログインしようとするたびに、有効なオフチャネルメディアを介して8時間有効なパスコードを送信します。例えばSMS /テキストメッセージを使用して、パスコードを送信します。携帯電話はユビキタスです。ほとんどすべてのスタッフが携帯電話を持っています。プラス面では、パスワードは非常に長い必要はありません。ほとんどの場合、4桁または6桁の番号コードで十分です。
このシステムでは、教師が誤ってまたは故意にパスワードを渡したとしても、8時間でパスワードを取得できる不正ユーザーの数が限られているため、被害は最小限です。そしてその後のパスワードはダメです。
基本的に、悪者のために人生をより困難にします。
さらに悪いことに、1つのパスコードが1つのデバイスに対してのみ有効になるようにすることもできます。
実装:システムの名前はわかりませんが、これは空港(特に米国外)や他の公共の場所で以前に見たことがあります。携帯電話番号を入力し、WiFiネットワークにログインしようとすると表示されるログインページの条件に同意する必要があります。その後、システムから携帯電話に、ログインに必要なパスコードが記載されたテキストメッセージが送信されます。
テキストメッセージの送信:Twilio のようなもの、または他の何十ものSMS API実際のメッセージをオンラインで送信するのはそれほど難しいことではありません。送信されるメッセージあたり1セント未満であれば、予算を圧迫することはありません。
テキストメッセージングの代替:これらのRSAフォブの1つまたはGoogle独自の認証システムのような時間ベースのPINコードジェネレーターを使用します。ただし、この種のソリューションをプログラミングしてソリューションに統合するのは簡単なことではありません。
あなたは問題に間違った方法で取り組み、その過程であなた自身(そして一般的には機関)を敵にしています。学生の体は、集合的に、よりスマートで、より多くのリソースを持っています。また、誰のために働いているかも忘れないでください。
私があなたの所にいたら、私は単純なルートをとります-完全にオープンな学生のwifiネットワーク。はい、あなたはその権利を読みます-制限はまったくありません。
あなたが「制御」する方法は、ネットワークが監視されていることをよく知らせています。また、「異常な」トラフィックはすべて学校のWebサイトに掲載され、すべての人が見ることができます。
あなたは情報化時代のクラスを含んでいますよね?ネットワークの動作、パスワードの解読、情報セキュリティ、月間詐欺分析など。そうでなければ、あなたは教育者としてのあなたの仕事に失敗しています。私たちは21世紀に入っています。これは知識が必要であり、長い分裂やフランス革命よりも重要です。彼らの電話はすでに分裂している。
あなたは教師に何気なくパスワードを生徒に渡しています。ネットワークの使用について教育する必要がある最初のグループは教師です。そうでなければ、それ以上のセキュリティ対策は無意味です。
WiFiキーに強力なパスワードを使用し、WPA2(WEPまたはWPAではなくWPA2)を使用していると仮定すると、ワイヤレスネットワークはない特に簡単です侵入します。
これは、教師が直接または意図的に、またはセキュリティの緩やかな扱い(パスワードを書き留める、コンピュータのロックを解除するなど)によって、生徒にパスワードを提供していることを意味します。
MACアドレスフィルタリング(無意味)のようなものに対処する他の多くの回答があり、ネットワークの誤用などの明確な結果を確立しています。
いくつかの回答では、学生が使用する独自のネットワークを提供する可能性についても取り上げています。
安全なネットワークをセットアップするためのバリエーションがいくつかの回答から提案されています。これは比較的最小限の投資で行うことができ、さまざまな用途に複数のネットワークを提供するように簡単に拡張できます(機密事項のための教師/管理者ネットワーク、教室のChromebookのための学生ネットワーク、そしておそらく学生自身のデバイスの制限された使用さえ)。
Active Directory(Windowsサーバー)またはLinux SAMBAサーバーがある場合は、ワイヤレスネットワークでWPA-Enterprise認証を設定できます。
さらに、相互に通信する比較的手頃な価格のアクセスポイントを展開し、それぞれが個別のVLAN上にある複数のSSID(複数のワイヤレスネットワーク)に対応できるようにすることができます。各VLANは個別のネットワークであり、ルーターを介して以外の他のVLANと通信できないため、ルーターはファイアウォールルールを確立して、何が何と通信できるかを制御します。1つのネットワークでWPA-エンタープライズがWPA2を使用しているか、オープンであるが、キャプティブゲストポータルとファイアウォールを介して認証を強制し、ファイアウォールが管理ネットワークへの接続を妨げている。
学生に自分のネットワーク接続ドメインを許可するだけで、ポリシー違反に興味を持ち、成績や夏に機密性の高い管理ネットワークに侵入する危険を冒す学生の数を減らすことができます。
私は特定のギアを販売するつもりはありませんが、ほんの一例として、Ubiquiti Unifi APをそれぞれ70ドル未満で入手できます。最大4つのSSIDを提供でき、コントローラーソフトウェアは「無料」でWindowsまたはLinuxで動作し、訪問者(別名「学生」)がネットワークにアクセスするために個別にログオンすることを要求できるゲストポータルが含まれています。適切なワイヤレスカバレッジを取得するために必要な数だけこれらを配置でき、デバイス/ラップトップはすべてのAP間でシームレスにローミングします。これらはPoEデバイスであるため、機能するために必要なのはイーサネットケーブルだけです。 http://www.Amazon.com/Ubiquiti-Networks-UniFi-Enterprise-System/dp/B004XXMUCQ
realルーターを100ドルで取得すると、ルーティングエンジンを介して毎秒ギガビットに近づきます(実際には、50ドルでスループットがやや低下します)あなたは「弟」バージョンを取得し、はい、私は特定のブランドを考えています)。これらの小さなルーターはどちらも、単一のインターネット接続(または、必要に応じて冗長接続)を提供し、ネットワークを複数のVLANにセグメント化してそれらのセグメント間の通信を制御し、各ネットワークセグメントに異なるDHCPサーバーを提供します。そのため、アクティビティをログに記録し、それがやりたいことである場合は、卑劣な/不適切なものを監視するプロキシサーバーを介してすべての学生の接続を指示できます。
十分に適切なVLANサポートが30ドル、または24ポートバージョンのスイッチが80ドルの8ポート管理(「スマート」)ギガビットイーサネットスイッチを入手できます。規模と予算については、対処し直すと、トップシェルフのHP ProcurveまたはCiscoスイッチと超高価なワイヤレスデバイスを使用するためにデバイスあたり数千ドルを費やす必要はありません専用のハードウェアコントローラーを使用します。これらはすばらしいですが、誤解しないでください。ただし、予算内にない場合は、予算内にありません。
数百ドルで、ネットワーキングの知識が少しあり、オンラインドキュメントやフォーラムにアクセスできる人であれば、堅牢なネットワークを構築できます。
あなたはこれについて教師に言うべきです、そうすれば彼らは学生にパスワードを与えず、そしてWPA2-Enterpriseスキームを適用しません。
WPA Enterpriseは複数のユーザーのWifiネットワークを保護する適切な方法です。エンタープライズを使用することについて多くの良い答えがあります。キャプティブポータルも機能します。 MACアドレスとCookieを偽装して、それを回避しようとします。
有線イーサネットへの切り替えが私のお気に入りの答えです。 Wifiの存在下にいると、人々の健康に悪影響を及ぼすことが知られています。生徒のしつけに関する答えも良いです。
問題は、生徒をWiFiネットワークから遠ざける方法です。 私の答えは、彼らがそれに乗りたくないことです。 これは学校です。教育用です。授業時間中にネットワーク全体のすべての非教育コンテンツをフィルタリングします。これにより、教師と生徒の両方が学校の時間中に間抜けることを防ぎます。教育サービスのホワイトリストを使用して、ホワイトリストに記載されていないすべてのSSL/TLSトラフィックを含む可能性のあるすべての既知の非教育コンテンツをブロックし、1KB /秒に不明なものすべてを抑制できます。マルチメディアコンテンツは多くの学生が使用しているようです。 1KB /秒はそれに終止符を打つでしょう。教師は事前にメールでサイトのブロックを解除するように要求することができます。しばらくすると、教育サイトのニースコレクションが許可されます。教師はおそらくyoutube.comが機能しないことに腹を立てるでしょう。いくつかの動画ダウンローダーの1つを使用して、事前に動画をダウンロードする必要があることを教師に説明します。
限られた数の教師がフィルタリングされていない完全なアクセスを必要とする場合、パスワード(または教師ごとに異なるパスワード)を持つHTTP/HTTPSプロキシをそれらの教師に設定できます。実際には、外出時にプロキシを必要とするようにネットワーク全体を設定することは、wifiを保護するための代替手段です。
このアイデアはGoogleのような企業が求めるものに反することを理解しています。つまり、YouTubeのブロックを解除しない限り(実質的にすべてのエンターテイメントが賢明です)、フィルター付きネットワークでは自社の製品(Chromebooksなど)はまったく機能しません。学校を教育用にしたいですか、それとも大企業がやって来て、教師をバイパスしてコンテンツを生徒に直接配信したいですか?
物事をフィルタリングする別の方法 部分的に許可するが、何らかの方法でそれを壊すことです。 YouTubeは、何かを検閲したいときにこれを行います。 YouTubeからは削除されませんが、関連動画に表示されなくなります。これにより、検閲されているのと同じようにYouTubeからユーザーが切り替わるのを防ぎ、ほとんどの人はそれを見ることができなくなります。教師のコンピューターがAppleではない場合、Apple製品(iPhoneなど))に属するすべてのMACアドレスを5 KB /秒のスロットルリストにランダムに割り当てることができます。すべての教師に次に、使用中のすべてのMACアドレスを監視し、それらをフィルターリストまたはブロックリストに割り当てるか、5KB /秒にスロットルします。一部の学生のデバイスは引き続き機能し、何が起こっているのかを理解するのに長い時間がかかりますオン。
学生だけが行っていることがわかっているサイトを監視し、MACアドレスに基づいてブロックすることができます。学生とデバイスの組み合わせのほとんどは、MACアドレスの変更を防ぎます。最終的に誰かがおそらく刑務所の破壊などを理解するでしょう。そのため、ネットワーク全体のフィルタリング、有線イーサネット、またはWPAエンタープライズを展開する必要があります。