Hallo Holger, Für schuleigene Notebooks ist es m. E. unter folgenden Bedingungen vertretbar und sinnvoll, dass diese im grünen Netzwerk angemeldet sind:
1) Kein Windows 7oder MacOS X, weil man hier den PSK in Klarschrift anzeigen lassen kann, auch wenn die Verbindung unter einem administrativen Benutzer angelegt wurde (Was soll das?!). Dies ist in Windows XP und Linux möglich. 2) Maximale Länge des WPA2-PSK! Die Schüler haben "Knackprogramme" auf ihren Smartphones! 3) Absolute Geheimhaltung des WPA2-PSK. Ich habe meinen weggeworfen, nachdem ich die APs eingerichtet, gesichert und das Image für die Notebooks geschrieben hatte ;-) Die mobilen Geräte der KollegInnen kommen ins blaue Netzwerk, das mit linuxmuster-chilli o. ä. abgesichert ist. 4) Temporärer Betrieb der APs nur während der unterrichtlichen Nutzung der Notebooks. Wenn man auch noch eine Authentifizierung am Proxy verlangen würde, könnten Schüler nicht viel Schaden anrichten, außer an sich selbst, wenn sie im Unterricht im Cyberspace verloren gehen ... Gruß Jürgen Am 27.11.2014 um 00:51 schrieb Holger Baumhof: > Hallo Max, > >> er will doch nur schuleigene Lappies verbinden, warum dann nicht die >> APs in Grün? Ist das dann ein Sicherheitsleck, also kann man aus den >> Maschienen den Key des AP auslesen? > APs in Grün benötigen ein sehr großes Vertrauen zum WPA2 Standard und > dessen unknackbarkeit auch in Zukunft. > > Aber auch abseits davon: der Druck wird groß: Kollegen wollen das auch > gerne mit ihren eigenen Laptops Nutzen, und schon trägt man denen den > WPA2 Schlüssel ein: welcher unter Windows auslesbar ist. > Oder man sagt ihn den Kollegen: schwupps schon haben ihn auch die > Schüler und jeder kann den Server nach Belieben angreifen: von innen: > ohne dass man weiß, wer das war. > Man kann ja bequem die MAC Adresse eines festen Clients spoofen. > Das nächste ist die Protokollierung der Internet Zugriffe: erlaubt man > Clients, die man benutzen kann, ohne sich an der Domäne an zu Melden, > dann kann man später nicht sagen, wer das Netz verwendet hat, wenn man > nciht zusätzlich eine Proxy authentifizierung vorschaltet... dann kann > man es aber auch gleich richtig machen und verschiebt die APs nach Blau, > wo sie hin gehören. > > Viele Grüße > > Holger > _______________________________________________ linuxmuster-user mailing list [email protected] https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
