Вопрос сисадминам про вайфай

[taki_net]

Народ, у нас такая проблема. По школе висят вайфай точки (они именно сконфигурированы как точки доступа, не роутеры, хотя такая конфигурация тоже возможна). Числом примерно 6.

Число легальных пользователей - около 50, но пароль (ключ wpa) быстро утекает, школота же, ложно понятое чувство товарищества. И их становятся сотни. После чего сеть ложится.

А смена пароля, с оповещением всех легальных, занимает два-три дня. А потом за пару дней все утекает.

И т.д.

Есть идеи?

Народ, решения, требующие более 1 чел-часа в неделю на поддержку - вне наших возможностей; рассматриваются только ПРОСТЫЕ решения

Comments

[konj-v-paljto.livejournal.com]

А именно _фильтрация_? то есть отказ в обслуживании маку не из белого списка?
У школоло, очевидно, в основном мобильные устройства, а подмена мака - штука на них обычно не самая простая.

Что за собственно роутеры, если не секрет?
Что есть их аплинк? Сервер, свитч (насколько умный)?..

[francis-drake.livejournal.com]

Сотни спуфить не начнут.

[taki-net.livejournal.com]

Нереальный, да. Не только аплинк и точки, но и вся вообще инфраструктура.

Ну и аплинк... 200 ю-тьюб разом представил, да?

[konj-v-paljto.livejournal.com]

Шейпер на школо-сетку? Саморегуляция сразу настанет, "выключи ютуб, сволочь, из-за тебя у всех школьников скорости меньше", и гарантированное количество интернетов для учительской сетки.

[konj-v-paljto.livejournal.com]

Вы-таки не знаете современных школьников.

[taki-net.livejournal.com]

ВСЕ начинают. Это уже делалось.

[scolar.livejournal.com]

А какие у легальных пользователей легальные устройства?

[konj-v-paljto.livejournal.com]

Ноутбуки, планшеты, мобильники.

[elentin]

А почему ютьюб вообще можно в школе? Я понимаю, википедию (ну, условно, понятно, что куча ценных ресурсов есть).
Но это какой-то не технический вопрос, а административный, мда.

[ppk_ptichkin]

Т.е. конь-в-пальто прав - компьютеры учителей, а хакают дети?

Вообще-то вам ведь не надо НИКОГДА - это всегда очень дорого, и практически всегда иллюзия. Вам надо, чтобы это было достаточно редко при разумных расходах/потраченному времени.

Я бы сделал две сети. С гарантированным уровнем сервиса и фильтром по MAC или отдельными паролями, и свободный, с орвнем сервиса "как получится".

Я, собственно, собираюсь это дома cделать.

[konj-v-paljto.livejournal.com]

из зала прозвучал выкрик "802.1x".

[a7sharp9.livejournal.com]

Поставить систему как в гостиницах, где интернет меряный - с одноразовыми паролями на ограниченное время подключения каждый. Выдавать легальным пользователям на месяц определенное количество. Хочет с кем-то делиться - пожалуйста.

[konj-v-paljto.livejournal.com]

Показ учителем ролика. например.

[konj-v-paljto.livejournal.com]

еще один выкрик:
50 легальных узеров с одним общим паролем - нонсенс
50 усеров - 50 паролей
видим больше условно 3 коннектов параллельных у юзера (Айфон, айпад, макбук - куда же боле) - юзера баним и профилактически беседуем

писюк с линуксом, авторизация радиусом
не ключ сети нужен, а авторизация клиента

[taki-net.livejournal.com]

Любые - ноуты win, маки, айфоны, андроидные планшеты...

[jedal]

(При условии технической возможности) по той же причине, по которой в школе можно интернет вообще... или, скажем, книги.

[elentin]

Разумно, действительно.

Тогда шейпинг.

[jedal]

Мне кажется, возможное решение — открытая сеть + шейпинг + белый список MACов, которым дается высокая скорость.
(Побочный эффект, кстати сказать, — желающему поспуфить мак будет не так просто понять, что именно спуфить...)

[aka-author.livejournal.com]

Надо выделить пару точек для учителей, и пароль от них детям не давать, а у детей пусть сеть ложится, пока не начнут правильно понимать чувство товарищества.

[sorotokin.livejournal.com]

+1

[konj-v-paljto.livejournal.com]

Школа большая.
Шесть точек не для избыточности, а чтобы весь объем покрывать.

[http://users.livejournal.com/_iga/]

Отказаться от авторизации по паролям, перейдя на сертификаты (которые украсть чуточку сложнее).

Часть (в идеале - все) сертификатов можно перенести на usb hardware token'ы, тогда их украсть можно только физически вместе с токеном (примерная цена вопроса - 50x770р=38тыр).
Если легальных компьютеров (LC) значительно меньше, чем легальных пользователей (LU), можно сэкономить, купив вместо LU токенов LU более дешёвых смарткарт + LC картридеров к ним.

Поддержка - выдача нового сертификата при заведении нового пользователя, а также отзыв скомпрометированного сертификата в случае обнаружения утечки.

Бонус: можно на тех же токенах хранить, например, учительские сертификаты для ЭЦП "электронного журнала", ключи шифрования дисков, на которых хранятся правильные ответы задач и т.п.

[morreth.livejournal.com]

пароль каждый день менять. Привязать его к уникальной книге на англий ком языке. Напри ер, первое шестибуквенное слово на странице. Книгу хранить в учительской, школоте не давать.

[ppk_ptichkin]

(почитав ещё)

Просто заблокировать youtube и иже с ними на входе.

[fortness90.myopenid.com (from livejournal.com)]

И все online анонимайзеры вы тоже заблокируете ??
А если учесть, что они и проксю дома могут поставить ..