试图使高中生脱离Wi-Fi网络

#1 楼

强制对网络上发现的学生进行后果

您需要做的第一件事是确保您有一个书面政策，概述了网络上允许使用的设备。但是，如果您在执行策略方面不一致，那就没用了。

这还应涵盖教师的使用策略，包括在计算机上不存在计算机时将其锁定。您还可以使用组策略来阻止用户查看WiFi密码。

技术措施

以下内容包括各种选项，用于限制以下情况下使用学生设备：学校网络。最有效的是WPA2-Enterprise。之所以包含其他选项，是因为它们在限制学生的未授权访问方面可能足够有效，并且取决于您的特定网络，可能更易于实现。

但是，该问题表明学生在组织的主要网络中。只有WPA2-Enterprise才能充分保护您的网络免受未经授权的设备的攻击。一旦知道了PSK，学生就可以嗅探教师的网络流量，并可能捕获电子邮件和Windows哈希。此外，恶意用户可能会开始直接攻击其他计算机。

WPA2-Enterprise

最好的解决方案是实施WPA2-Enterprise，而不是使用预共享密钥（ WPA2-PSK）。这允许颁发个人证书。这是通过在每台计算机上安装客户端证书来实现的。这需要大量的工程设计，并且在较大的环境中进行设置并非易事。该页面提供了一些有关如何部署WPA2-Enterprise的良好指导。

Captive Portal

正如@Steve Sether提到的，一旦用户连接到网络，Chillispot强制门户可以用于对用户进行身份验证。尽管我没有证据要指出，但是我怀疑可以通过欺骗MAC和IP地址来绕过这种门户。但是，这确实增加了难度，并且比在多个设备上进行MAC过滤更易于管理。

MAC地址过滤

正如您提到的，MAC地址可以被欺骗，因此MAC地址过滤的有效性受到限制。但是，许多电话可以防止欺骗MAC地址，因此可以解决某些有问题的用户。例如，iPhone必须先越狱，然后才能更改MAC地址。使用MAC地址过滤最困难的部分将是管理允许的MAC地址列表，尤其是来自不同供应商的多个设备之间的地址。

我还认为使用MAC地址有“合法”的好处过滤或强制门户。当密码写在白板上时，很难说用户未经授权就可以访问网络。但是，如果用户必须显式绕过安全限制，则针对此活动的理由更强。

使用Internet代理防止未经授权使用HTTPS

实施使用您自己的私钥的HTTPS解决方案。您可以将相应的证书安装到组织的机器上，它们不会注意到任何不同的内容（尽管组织仍应告诉员工正在发生HTTPS拦截）。但是，没有证书的未经授权的设备将在每次尝试浏览安全页面时收到有关HTTPS无效的讨厌消息。此外，由于您正在解密HTTPS流量，因此您将能够监控流量。例如，查看哪些学生登录Facebook将使您可以直接与这些学生联系。

许多内容控制实现提供了解密HTTPS流量的功能。如果学校已经建立了内容控制机制（例如Bluecoat或Net Nanny），请与您的供应商讨论如何实现此功能。

#2 楼

您正在尝试解决错误的问题。

他们成千上万，而您却是一个。由于您不是安全专家（据我所知，对不起，如果我误解了），尽管它们都不是，但它们是部落，如果您打常规战争，您肯定会输掉。

@AviD在评论中给出了一个很好的答案：


这是一个非技术性的想法：这是一所学校，对吧？所以教育他们。告诉他们后果的重要性，可接受的使用，黑客的非法性……是的，正确使用互联网。我的意思是，如果需要的话，给他们访问一个单独的经过过滤的网络的方法，并围绕它创建一些课程。上课，互联网安全，严格遵守任何AUP，等等。。。使他们能够访问网络，并用它教会他们成为良好的互联网公民。而且，如何有效地使用互联网来帮助他们进行教育。


您不仅无法赢得阻止他们访问的战争，而且即使您这样做，您也可以一无所获：他们仍然拥有自己的设备，仍然会以不同的方式分散他们的注意力。

另外，黑客攻击您将以“解决问题”的方式教给他们宝贵的课程。如果这不是您要他们解决的问题，请发现更好，更有趣或更有用的问题。

请注意，即使可行，（我猜不是） ，禁止他们携带任何设备也不是一个好的解决方案：他们需要在上课之后，学会掌握手边的设备，而不要使用它们。如果他们不学习这一课，将来他们在社交和工作上都会遇到同样的问题。

最后，如果他们可以设法不上您的课程而仍然获得良好的成绩，那么问题可能出在这里。您的测试太容易了还是太欺骗了？您的课程没有用吗？这就是重点。另一方面，如果他们未通过测试，他们可能/应该意识到，遵循这些课程将帮助他们成功……


正如DDPWNAGE正确指出的那样：


这是2015年，对吧？我认为，应该允许学生有限地访问Internet。如果您是高中老师，请问学校是否可以教授有关使用Internet的课程，并教授一些基本的计算机课程。越来越多的孩子对这些科目感兴趣，而在高中学习的编程语言以后可以为成千上万的孩子节省上大学的时间。我将于下星期五从
HS毕业，并且我将使用
Objective-C作为逻辑系统推出一款iOS游戏。只是让孩子们保持话题，他们就能做得很好。

#3 楼

以太网

在我被所有说iPad没有以太网端口的人所激怒之前，这只是一层“安全”。

在大多数情况下，老师应该能够使用BASE-100TX CAT5 +普通物理以太网电缆使用笔记本电脑。

您将减少攻击范围（因为密钥不再在老师的笔记本电脑上了）。

另外，如果学生可以使用物理CAT5，将很难利用它（您可以看到连接到电缆的物理设备，并且大多数电话都没有RJ45插座）。

#4 楼

如果密码那样泄漏，则可能比限制Wifi访问更大的问题。听起来孩子们几乎可以做老师可以做的所有事情（包括操纵考试结果吗？），并且通常在您所在的位置进行。

经过一些侦探工作以缩小泄漏源的范围，听起来似乎需要一点教师教育才能解决这个问题。它可能是被入侵的计算机或路由器，而不是人为错误，因此我不主张任何严厉的措施。我会安装一些日志记录，或者（暂时）为老师提供个人密码。

也许还可以使老师更容易从成人那里获得帮助，或者如果孩子正在帮助，则可以使用来宾帐户？

#5 楼

为每个授权用户提供自己的个人密码。然后，您将能够判断泄漏的来源（假设泄漏的是泄漏而不是破裂）。 （例如，您可能会发现需要教育您的一位教职员工不要将密码留在他的课桌上）。
设置严苛的防火墙规则以阻止对大多数Internet的访问。仅保留最少的可访问站点。如果学生无法访问Facebook（例如），他们可能会放弃尝试进行连接。授权用户可以根据需要轻松地请求对网站进行解锁。该屏蔽块还可以配置为仅适用于无线连接，这样就不会给您的管理员每天整天坐在办公桌上的有线连接带来不便。

#6 楼

考虑设备升级

我知道您正在寻找一种无预算的解决方案，但是一组匹配的企业级WAP和中央控制器可以使网络保护更加容易。权衡一下抵御网络欺凌或骚扰员工的诉讼费用，或协助伪造考试成绩的费用...

使用MAC过滤

收集MAC地址使您可以进行更改，与每个工作人员讨论您对确保其帐户和设备安全的期望。 MAC地址，硬件序列号以及有关学校拥有的设备的其他信息的列表对于证明您尚未遭受盗窃也很重要。

使DHCP成为蜜罐

在可管理的范围内为员工设备分配静态IP地址，并允许他们进行适当的Internet访问。配置DHCP以为无法识别的MAC地址分配不同范围的地址，并设置DNAT重定向，以便用户从该IP地址范围看到的唯一内容是一个静态网页，其中包含与您交谈的说明：


“此网络由XXX学校运营，仅用于授权的学术用途。如果您认为自己看到此页面有误，请与XXX室的McQueen先生联系。”


强制后果

如果学生不应该拥有手机和笔记本电脑，请强制实施。初犯，立即没收设备，让父母来接它。第二次进攻，同样的演习，使学生停学，就好像学生被毒品或武器逮捕一样。对于那些必须携带电话往返学校的学生（如果是高中，也许他们需要一部电话来上班或通勤），请让他们在上学日开始之前将其签入秘书并检查然后出来。

#7 楼

您需要加强人员安全，而不是技术安全。 WiFi密码足够好，真正的问题是“谁在向学生泄露密码？”和“如何阻止他们？”。如果特权人员（工作人员）与您要阻止的人员共享其凭据，则您将没有任何安全性。

为每个人设置不同的密码只会有所帮助，将能够锁定那些泄露密码的人。然后逐步采用冗长且麻烦的访问恢复程序，让他们逐渐变得更加小心：D

// edit：
重新阅读您的问题后，我意识到您已经说过密码泄漏。

Some of the teachers are not at all comfortable with technology 

所以，我可以向您提出极端的建议：


然后改变技术！ Wi-Fi既复杂又令人困惑。更换电缆。电缆简单易懂：将其插入电源，指示灯开始闪烁，互联网即可正常工作。请理解，我不敦促您实际关闭Wi-Fi。我只是建议大多数教师不应该直接使用它，因此不需要知道密码。

如果您在某处无法连接电缆，则在客户端模式下的简单访问点将提供以太网插孔。管理面板上的密码将使您很难了解此AP如何授权您的“主干” Wi-Fi。

对于chromebook和ipad，请在它们所在的房间中设置专用的Wi-Fi重新使用。您可以在每堂课后更改其密码，并在下一堂课开始时宣布新密码。

#8 楼

我将使用WPA2-Enterprise，所以每个人都将使用自己的名称和密码，而不仅仅是密码，每个人都一样。要设置WPA2-Enterprise，您只需要具有RADIUS服务器。我认为最便宜的意见是购买NAS服务器。它有时也支持多种功能，并且还支持RADIUS（为此我建议使用Synology）。

替代方法是使用某些热点系统来要求登录，但并非所有路由器都支持此功能，而且价格昂贵。 >
提到的MAC过滤器和DHCP陷阱不是主要的安全性。它需要在路由器中注册所有地址，因此无法携带自己的设备。接下来的事情是，MAC过滤器和DHCP陷阱在大约5至15分钟之内即可破解。

最后一段：有人应该告诉老师这是错误的。尽管您可以在一段时间不活动或其他事情后设置设备锁定，但没有有效的方法可以停止将密码告诉不应该使用密码的人。另外，他们应该定期更改密码。

但是我这样看：没有办法阻止黑客（学生），您只能使他们更难被黑客入侵。

#9 楼

设置一个使用RFC 6238的强制门户，例如Google Authenticator（GA）（https://github.com/google/google-authenticator）。 GA具有PAM模块。让每个员工亲自安装该应用程序，然后亲自到您的IT部门与该应用程序建立（同步）他们的帐户。

将auth令牌用作唯一或第二个因素。如果QR码或机密信息泄露，您会陷入混乱，但是您应该可以将其包含在内。

您还可以使用urQui（http://urqui.com/web/）代替Google Authenticator

#10 楼

我将建议您进行大多数公共Wi-Fi来源的操作，并要求通过带有个人用户名和密码的网站进行身份验证。如果需要，也可以使用WPA密码，以防止偶然的嗅探。

可通过免费的DD-WRT路由器（特别是通过名为ChiliSpot的软件）获得此密码。然后，您可以使用第三方提供程序来处理用户的身份验证。


ChilliSpot是开源的Captive_Portal无线或LAN访问点控制器。用于验证用户。它支持基于Web
的登录，这是当今公共HotSpot的标准。
身份验证，授权和计费（AAA）由
在线提供商或您提供的本地半径服务处理。


然后每个老师都有一个单独的登录名。尽管密码可能仍然“泄露”，但是您可以轻松地为一个用户更改任何密码，因为该服务还提供了记帐功能，并且您会发现哪个人负责泄漏密码。现在，我确定更改预共享密钥是一个很大的麻烦，因为它需要与很多人进行交流，所以我猜您不会经常这样做。此外，输入用户名和密码“感觉”更像是黑客攻击，而不仅仅是共享WPA密码（人们一直在这样做）。因此，即使个人登录被泄露，即使是一项更改也可能会减少滥用。

我建议不要使用MAC地址过滤，因为这是每次老师想要连接MAC时的维护噩梦。网络中的新设备。当然可以这样做，但似乎麻烦多于其所值。另外，MAC地址欺骗相对来说是微不足道的，一旦被发现，每个人都知道如何做只是时间问题。

我假设您已经想到了“强制执行”选项，并且由于您自己的原因而拒绝了它。好。我希望学校不要走得更像监狱而不是学习的地方。

#11 楼

找到一种不泄露密码的方法。我没有使用此工具的经验，但是SpiceWorks在http://www.spiceworks.com/free-mobile-device-management-mdm-software/上提供了免费的移动设备管理程序。使用该密码将WPA2密码分发给所有有权连接的计算机。如果学生接触到安装程序，那将无济于事，因为您可以进行安装，因此必须先批准该设备，然后才能获得密码。

#12 楼

802.1X


IEEE 802.1X是基于端口的网络访问控制（PNAC）的标准-它为希望连接到LAN或WL​​AN的设备提供身份验证机制。 >

可以使用不同的方法进行设置，因此您必须查看设备和需求，但是典型的用例是如果您的所有用户都拥有MS ActiveDirectory（人员）具有AD帐户。然后，您可以设置RADIUS服务器，然后用户可以使用其普通域凭据进行身份验证以访问网络。

#13 楼

这是另一种策略。让我们从以下假设开始：


您给老师的任何密码都会泄漏，只要老师没有动力不共享密码
密码一旦泄漏就会广泛传播通过口口相传
对学生使用借入的密码实施强制/采取行动是很困难的
我们试图阻止普通学生，而不是真正有动机的黑客
拥有静态的MAC列表过于严格并且可以被欺骗
具有任何种类的动态MAC列表，使得每天的日常工作都必须添加设备，除此之外，无论如何都可以被欺骗。
您真的不在乎奇数小伙子还是非法登录，只要没有那么多小伙子登录以淹没您的带宽

现在，鉴于所有这些，我认为适合用例的唯一解决方案是频繁更改密码。现在已经承认，实现起来可能有些棘手，但并非没有可能。

让我们首先考虑什么对您的用例有用，然后我们可以担心如何实现它。您需要的是一个生成具有到期时间的密码的系统。假设每天有人尝试登录时，您都会通过有效的非渠道媒介向他们发送可以使用8个小时的密码。例如使用短信/短信向他们发送密码。手机无处不在。几乎所有员工都将拥有它们。从好的方面来说，密码现在不必太长而且很难。 4位或6位数字的代码应足以满足大多数目的。

在该系统中，即使教师无意或故意泄露了密码，对损害的影响也很小，因为在8个小时内可以获取密码的非法用户数量是有限的。此后密码就不好了。

基本上，使坏人的生活更艰难。

如果您想让情况变得更糟，也可以这样做，以便任何一个密码都仅对一台设备有效。

实施：我不确定该系统叫什么，但我以前在机场（尤其是美国境外）和其他公共场所见过。我必须输入我的手机号码，并同意我尝试登录WiFi网络时在登录页面上显示的条款，然后系统在我的手机上向我发送一条短信，其中包含登录所需的密码。

发送文本消息：使用Twilio或其他数十种SMS API在线发送实际消息并不难。每封邮件的收益不到一分钱，这应该不会超出您的预算。

替代短信：使用基于时间的密码生成器，例如RSA密钥卡之一甚至Google自己的身份验证器。但是，对这种解决方案进行编程并将其集成到您的解决方案中可能并不容易。

#14 楼

您正在以错误的方式处理问题，并在此过程中使自己（以及整个机构）成为敌人。总的来说，学生团体更聪明，拥有更多的资源。另外，别忘了为谁服务（他们）。

如果我在你的位置，我会走一条简单的路线-完全开放的学生无线网络。是的，您没看错-完全没有限制。

您“控制”它的方式就是众所周知，它正在监视网络。任何“异常”访问量都将发布在学校网站上，以供所有人查看。

您要包括信息时代的课程，是吗？网络如何运行，密码破解，信息安全，欺诈分析等？如果不是这样，则说明您的教育工作者工作失败。我们已经进入21世纪，这是必需的知识，比长期分裂或法国大革命更为重要。他们的手机已经分区了。

#15 楼

您应该对此老师说，这样他们才不会向学生提供密码，然后再应用WPA2-Enterprise方案。

#16 楼

人为问题（社会工程学）

您有老师随便将密码分发给学生。您需要教育有关网络使用情况的第一批人是您的老师。否则，进一步的安全措施将毫无意义。

假设您对WiFi密钥使用了强密码并且使用了WPA2（不是WEP甚至是WPA，而是WPA2），则无线网络并不是特别容易中断

，这意味着您的老师正在直接或有意地或通过宽松的安全措施（将密码写下来，使计算机保持解锁状态等）向学生提供密码。

还有许多其他答案可以解决诸如MAC地址过滤（毫无意义），为滥用网络等问题建立明确的后果等问题。

一些答案​​还涉及为学生提供学习的可能性使用自己的网络。

技术解决方案

一些答案​​提出了设置安全网络的建议。这可以用相对最小的投资来完成，并且可以轻松扩展以提供用于不同用途的多个网络（针对敏感内容的教师/管理员网络，用于课堂Chromebook的学生网络，甚至可能有限地使用学生自己的设备）。

如果具有Active Directory（Windows服务器）或Linux SAMBA服务器，则可以在无线网络上设置WPA-Enterprise身份验证。

此外，您可以部署价格相对可承受的接入点，这些接入点彼此通信，并使您能够为多个SSID（一个以上的无线网络）提供服务，每个SSID都位于单独的VLAN上。每个VLAN是一个单独的网络，除通过路由器外，不能与其他VLAN进行通信，因此您可以在路由器上建立防火墙规则，以控制可以与哪些进行通信。一个网络可以使用WPA-Enterprise，而另一个网络可以使用WPA2，或者是开放的，但是可以通过强制访客门户进行身份验证，而防火墙则可以阻止连接到管理网络。

只需授予学生一个网络，他们自己的互联域可能会减少对违反政策感兴趣并冒着自己的成绩或暑假闯入敏感管理网络的风险的人数。

我不打算出售任何特定的设备，但作为一个示例，您可以以不到70美元的价格获得Ubiquiti Unifi AP。它们最多可以提供四个SSID，并且控制器软件是“免费”的，并且可以在Windows或Linux上运行，并且包括一个来宾门户，使您可以要求访问者（即“学生”）单独登录才能访问网络。您可以根据需要部署任意数量的这些设备，以获得足够的无线覆盖范围，并且设备/笔记本电脑将在所有AP之间无缝漫游。它们是PoE设备，因此运行所需的只是一条以太网电缆。 http://www.amazon.com/Ubiquiti-Networks-UniFi-Enterprise-System/dp/B004XXMUCQ

您可以花100美元获得一个真正的路由器，该路由器将通过路由引擎每秒接近千兆比特（实际上，如果您获得“小兄弟”版本，则价格为50美元，吞吐量稍低一些，是的，我正在考虑一种特殊的牌）。这些小型路由器中的任何一个都可以为您提供单个Internet连接（如果需要，也可以提供冗余连接），并且可以将网络划分为多个VLAN并控制这些网段之间的通信，并为每个网段提供不同的DHCP服务器。因此，您可以通过代理服务器定向所有学生的连接，该服务器记录活动并监视偷偷摸摸的/不适当的东西。

您可以管理8端口（“智能”）具有30美元的完全足够的VLAN支持的千兆以太网交换机，或80美元的24端口版本的交换机。对于您要处理的规模和预算，您不必为每台设备花费数千美元就可以使用顶级的HP Procurve或Cisco交换机以及带有专用硬件控制器的超贵无线设备。那些很棒，不要误会，但是如果不在预算之内，那么就不在预算之内。

只要几百美元，那些懂一点网络知识的人并且访问在线文档和论坛可以建立一个强大的网络。

#17 楼

有关使用WPA Enterprise的许多好的答案，这是保护多用户Wifi网络的正确方法。强制门户也可以使用，我怀疑有很多学生会试图通过欺骗MAC地址和cookie来解决该问题。

切换到有线以太网是我最喜欢的答案。众所周知，使用Wifi会对人们的健康造成不良影响。关于惩戒学生的答案也很好。

问题是如何使学生脱离WiFi网络。我的答案是让他们不想参加这个会议。这是一所学校。这是为了教育。在上课时间过滤整个网络上的所有非教育性内容。这样可以防止老师和学生在上学期间都感到无聊。可以使用教育服务白名​​单，阻止所有已知的非教育内容（可能包括所有非白名单的SSL / TLS流量）并将所有未知的内容限制为1KB /秒来完成。多媒体内容似乎是许多学生正在使用的内容。 1KB /秒的速度将结束这种情况。教师可以提前通过电子邮件发送电子邮件，要求取消阻止站点。一段时间后，将允许收集大量的教育网站。教师可能会对youtube.com无法正常工作感到不安。向老师说明必须使用多个视频下载器之一预先下载视频。

如果数量有限的老师需要完全未经过滤的访问权限，则需要使用带密码（或其他密码）的HTTP / HTTPS代理可以为这些老师设置密码（每个老师的密码）。实际上，设置整个网络以要求代理发送出去是保护wifi的一种替代方法。

我意识到，这个想法与Google这样的公司背道而驰，除非您取消阻止youtube（这在娱乐上几乎是明智的选择），否则他们的产品（例如Chromebook）根本无法在经过过滤的网络中运行。您要学校是为了教育，还是要大公司进来并尝试绕过老师并直接向学生提供内容？

筛选内容的另一种方法是部分允许它但可以打破它某种方式。当他们想审查某些内容时，YouTube会这样做。他们不会从YouTube上将其删除，但会使其不会显示在相关视频中。这样可以防止人们从经过检查的YouTube网站上撤离，同时阻止大多数人看到它。假设教师的计算机不是Apple，您可以将所有属于Apple产品（如iPhone）的MAC地址随机分配到5KB /秒的列表中。您可以要求所有老师关闭他们的设备。然后监视所有正在使用的MAC地址，并将其分配给过滤器或阻止列表，或将其限制为5KB /秒。一些学生设备仍然可以使用，并且需要花费很长时间才能弄清楚发生了什么。

您可以监视仅知道学生正在访问的站点，然后根据MAC地址进行阻止。大多数学生和设备组合将阻止MAC地址更改。最终，有人可能会发现越狱的情况，因此需要部署网络范围的筛选，有线以太网或WPA Enterprise。