Вопрос сисадминам про вайфай

[taki_net]

Народ, у нас такая проблема. По школе висят вайфай точки (они именно сконфигурированы как точки доступа, не роутеры, хотя такая конфигурация тоже возможна). Числом примерно 6.

Число легальных пользователей - около 50, но пароль (ключ wpa) быстро утекает, школота же, ложно понятое чувство товарищества. И их становятся сотни. После чего сеть ложится.

А смена пароля, с оповещением всех легальных, занимает два-три дня. А потом за пару дней все утекает.

И т.д.

Есть идеи?

Народ, решения, требующие более 1 чел-часа в неделю на поддержку - вне наших возможностей; рассматриваются только ПРОСТЫЕ решения

Comments

[dragon-ru.livejournal.com]

Вводить пароль на принесенный комп, чтобы сам пользователь его не знал?

[elentin]

кейлоггеры же. у школоты :)

(не, ничего смешного - я помню, с каким восторгом мне автомобильный инструктор рассказывал, как поставил на свою винду - и так прикольно, представляешь? - пароли всей семьи узнавать)

[taki-net.livejournal.com]

Многие компы показывают введенный пароль.

[elentin]

А гвоздями к мак-адресам прибивать выдаваемые динамические адреса?

В последнее время это даже довольно тупые SOHO-роутеры умеют, не думаю, что в школе висит что-то тупее.
(small office-home office сегмент рынка, так это называется)

[taki-net.livejournal.com]

Через DHCP?

Так и чем это помогает? Во-первых, это значит занять столько адресов, сколько легальных пользователей (что не есть хорошо, хотя ПОКА не фатально), а главное - это никак не помогает от прописывания стат. адреса на устройстве.

[nnimble.livejournal.com]

Даже моя i-лопата способна проставить дать пользователю возможность перебить мак-адрес. Другое дело что запретить возможность одновременной работы в сети двух одинаковых маков (а оно кажется по определению запрещено).

К макам можно прибивать права доступа в интеренет, не обязательно айпи-адреса.

[a7sharp9.livejournal.com]

На роутере фильтровать DHCP clients по MAC address.

[a7sharp9.livejournal.com]

Хотя нет, начнут спуфить.

[teabushmanmike.livejournal.com]

Выдавать интернет только специальным мак-адресам.

[taki-net.livejournal.com]

Какой именно ресурс? Дьявол в деталях. Если ip-адреса, они их хавают статически.

[marknn.livejournal.com]

ввести мак-адреса всех легальных пользователей. Например, пусть по почте пошлют. И никого другого не пускать.

А по хорошему, конечно нужно сконфигуровать аuthnetication service и либо держать на каждом компьютере сертификат, либо пользоваться wpa-enterprise

[oude-rus.livejournal.com]

одна школота школотее другой?
я бы посоветовал сделать доступ для всех.

[taki-net.livejournal.com]

Сорри, на 500 пользователей ОДНОВЕМЕННО? Это значит менять всю архитектуру сети.

[konj-v-paljto.livejournal.com]

Фильтрация по макам же. не?

[elentin]

выше в комментариях есть и чуть более удачный ответ, но первая мысль, как видно, у всех похожа :)

[ppk_ptichkin]

А кто легальные пользователи?

[konj-v-paljto.livejournal.com]

учителя, очевидно же

[fortness90.myopenid.com (from livejournal.com)]

Советско-провайдерский метод:поставить доступ к инету через VPN/прокси раздать школоте индивидуальные логины/пароли.

[konj-v-paljto.livejournal.com]

школоте вайфай вообще не положен. тупо мощности не хватает.

[konj-v-paljto.livejournal.com]

алсо, нереальный, но более конструктивный, КМК, вариант.

поставить столько точек и такой аплинк, чтобы со школотой хватало.
Сделать сетку для школоло и сетку для учителей.
Если есть задача "чтобы с уроков не лазали" - то школьную сетку во время уроков этосамое, кроме, например, библиотеки.

[taki-net.livejournal.com]

Нереальный, да. Не только аплинк и точки, но и вся вообще инфраструктура.

Ну и аплинк... 200 ю-тьюб разом представил, да?

[scolar.livejournal.com]

А какие у легальных пользователей легальные устройства?

[konj-v-paljto.livejournal.com]

Ноутбуки, планшеты, мобильники.

[konj-v-paljto.livejournal.com]

из зала прозвучал выкрик "802.1x".

[a7sharp9.livejournal.com]

Поставить систему как в гостиницах, где интернет меряный - с одноразовыми паролями на ограниченное время подключения каждый. Выдавать легальным пользователям на месяц определенное количество. Хочет с кем-то делиться - пожалуйста.

[konj-v-paljto.livejournal.com]

еще один выкрик:
50 легальных узеров с одним общим паролем - нонсенс
50 усеров - 50 паролей
видим больше условно 3 коннектов параллельных у юзера (Айфон, айпад, макбук - куда же боле) - юзера баним и профилактически беседуем

писюк с линуксом, авторизация радиусом
не ключ сети нужен, а авторизация клиента

[sorotokin.livejournal.com]

+1

[aka-author.livejournal.com]

Надо выделить пару точек для учителей, и пароль от них детям не давать, а у детей пусть сеть ложится, пока не начнут правильно понимать чувство товарищества.

[konj-v-paljto.livejournal.com]

Школа большая.
Шесть точек не для избыточности, а чтобы весь объем покрывать.

[http://users.livejournal.com/_iga/]

Отказаться от авторизации по паролям, перейдя на сертификаты (которые украсть чуточку сложнее).

Часть (в идеале - все) сертификатов можно перенести на usb hardware token'ы, тогда их украсть можно только физически вместе с токеном (примерная цена вопроса - 50x770р=38тыр).
Если легальных компьютеров (LC) значительно меньше, чем легальных пользователей (LU), можно сэкономить, купив вместо LU токенов LU более дешёвых смарткарт + LC картридеров к ним.

Поддержка - выдача нового сертификата при заведении нового пользователя, а также отзыв скомпрометированного сертификата в случае обнаружения утечки.

Бонус: можно на тех же токенах хранить, например, учительские сертификаты для ЭЦП "электронного журнала", ключи шифрования дисков, на которых хранятся правильные ответы задач и т.п.

[morreth.livejournal.com]

пароль каждый день менять. Привязать его к уникальной книге на англий ком языке. Напри ер, первое шестибуквенное слово на странице. Книгу хранить в учительской, школоте не давать.

[taki-net.livejournal.com]

Я думаю в эту же сторону,только еще проще.

[ppk_ptichkin]

(почитав ещё)

Просто заблокировать youtube и иже с ними на входе.

[fortness90.myopenid.com (from livejournal.com)]

И все online анонимайзеры вы тоже заблокируете ??
А если учесть, что они и проксю дома могут поставить ..

[kuzia-aka-zmey.livejournal.com]

Развивая вот это предложение Птичкина.
http://taki-net.livejournal.com/1644594.html?thread=34406450#t34406450
Ставить небольшое но достаточное "количество интернета" для каждого легального юзера и выделение дополнительных мегабайтов привязать к "часу в неделю" и к заяве в письменном виде (т.е сделать препятствие преодолимым но вызывающим неудобство).

После чего украденный пароль или ключ станет реально украденным и сами пользователи начнут понимать что надо их беречь. А дальше путем ременной передачи это дойдет до детей легальных пользователей и взломы и раздачи прекратятся.

WPA2 enterprise спасет отца русской демократии?

[pargentum.livejournal.com]

В сети есть домен Windows (пойдет и Samba) или LDAP, в котором они все зарегистрированы?
Или хотя бы просто юникс-сервер, где они есть как пользователи?

Если есть, то решение простое, документированное во множестве howto (искать по ключевым словам WPA2 freeradius) и не особо нуждающееся в поддержке. При регистрации в сети надо указывать свои имя и пароль, поэтому утечка каждого отдельного пароля пресекается блокировкой конкретной учетной записи.

[imfromjasenevo.livejournal.com]

1)это будет не бесплатно, но вроде совсем не дорого.
каждый 3 дня рассылать новый пароль на телефоны учителей, через смс. Завести для этого специальную сим карту с максимально дешевым тарифом. И использовать клиенты провайдеров (у мтс такой есть), которые позволяют смс отправлять через PC.

2)А можно сделать так, подключение к самой сети безпарольное, но выход в интернет через прокси, который требует индивидуальный пароль для каждого пользователя с запретом множественного подключения.

[konj-v-paljto.livejournal.com]

рассылка смс через веб-сервисы для этого гораздо дешевле, проще и быстрее, чем с специальной симки руками.