Schüler-Notebooks im Netz

[anzcom 10]

Hallo!

 

Ich stehe hier bei uns in der Schule vor einem immer größeren Problem, das nun endlich nach Lösung ruft!

 

Wir haben 2 Server und insgesamt ca. 45 PC im Netzwerk. Am DC ist DHCP und DNS aktiviert.

 

Da immer mehr Schüler im Internat ihre eigenen Notebooks ins Netz hängen und dann im Internet surfen, will ich das nun abstellen. Wie kann ich nun einstellen, dass Computer, die nicht Mitglied der Domäne sind auch keine IP bekommen, geschweige denn DNS?

 

Für eure Hilfe bereits jetzt herzlichen Dank!

 

lg

[CoolAce 17]

Hy,

 

am einfachsten wenn ihr Cisco oder andere managbare switche habt portsecurity.

 

gruß

coolace

[anzcom 10]

nein, haben wir leider nicht!

 

Müsste doch irgendwie über Authentifizierung funktionieren oder täusche ich mich da?

[lefg 276]

Da immer mehr Schüler im Internat ihre eigenen Notebooks ins Netz hängen und dann im Internet surfen, will ich das nun abstellen.

Hallo,

 

warum, wozu? Was für ein Problem ist das?

 

Gruß

 

Edgar

[CoolAce 17]

Das einfachste wär die entsprechenden Ports auf den Zimmern zu disabeln

 

Gruß

 

CoolAce :cool:

[Dr.Melzer 191]

Da es sich um eine Schule handelt habe ich den Beitrag mal in Govenment Forum verschoben.

[grizzly999 11]

Eine der wirksamsten Lösung ist ein Switch, der 802.1X fähig ist. Dann braucht es eine CA, etwas Planung und Aufwand und dann Computerzertifikate für die Authentifizierung.

 

Da ist dann ein Nwetzwerkzugriff ohne Computerzertifikat beinahe unmöglich.

 

 

grizzly999

[lefg 276]

Wie kann ich nun einstellen, dass Computer, die nicht Mitglied der Domäne sind auch keine IP bekommen, geschweige denn DNS?

Würde das tatsächlich etwas ändern? Wenn jemand mit einem Scanner das Gateway findet, dieses einen freien Zugang gewährt, kommen sie raus.

Eine Möglichkeit wäre ein Proxy, ein ISA. Nur autorisierte Hosts, User dürfen raus. Eine andere wäre eine Switchhardwäre, die nur Rechnern mit registriereter MAC-Adress den Zugang gestattet. Die dritte Möglichkeit ist, lass sie surfen!

[anzcom 10]

Also wir haben im Internat einen Freizeitraum mit einigen PC's drinnen. Dort müssen sie sich ganz normal anmelden, haben natürlich auch nur begrenzte Benutzerrechte!

 

Jetzt gehen aber manche Schüler her und stecken ihre Notebooks an den Cat5-Ports der Stand-PC's ein! Da hilft natürlich ein Abschließen der einzelnen Anschlüsse nichts!

 

lg

[lefg 276]

Mir fällt da nichts einfaches, kostenloses ein.

[anzcom 10]

und wenns ein bisschen was kostet, auch egal - hauptsache es hilft!

[lefg 276]

Eine Möglichkeit hat Grizzly ja schon vorgeschlagen, ein Switch mit 802.1X. Ich kann da nicht mehr zu sagen.

 

Eine andere Möglichkeit ist ein konfigurierbarer Switch. Die Ports sind konfigurierbar, sie tauschen nur Datenpakete mit ihrer Partnernetzwerkadresse. Die MAC eines anderen Rechners wird nicht akzeptiert. Natürlich besteht die Möglichkeit zum Fälschen einer MAC.

 

Ein Proxy-Server wäre wohl eine weitere Möglichkeit. Er wäre so zu konfigurieren, das auch nur Rechner der Domäne Ausgang bekommen.

[anzcom 10]

sprich, ich werd mir wohl oder übel einen ISA Server anschaffen müssen oder?

!

[Der-Sensenmann 10]

ein bisschen weit hergefriffen aber ich würd so lösen:

 

Die Cat5 Dosen "anders" beschalten"

 

Die Kabel vom PC auf die "spezial" Dosen selbst machen, die stecker voher (auf PC seite) um S-Kleber präparieren, und vorher n zettel in den PC raum dranhängen, dass das entfernen von kabeln nicht erlaubt is!!!...

 

 

an der dose gehd kein norm kabel, wenn se se vom pc ziehen, haste se wegen sachbeschädigung dran ;)

[Rocky 10]

Also du könntest dir auch soviele kleine Kisten bauen wie Dosen vorhanden sind. Diese Kisten müssen sich mit einem Schloss schliessen lassen. Dann baust du die Kisten über die Dosen, steckst den Stecker (zur Herausührung des Kabels müssen die Kisten ein kleines Loch besitzen)ein und schliesst die Dinger ab. Fertig!!!

 

Die Bauzeit für die Kisten sollte nicht allzu groß sein und die Materialkosten halten sich auch niedrig.