WLAN
Inhaltsverzeichnis |
WLAN in Schulen
WLAN wird für Schulen zunehmend attraktiv. Leider - wie in der gesammten Schul-EDV - sind die Kenntnisse der Verantwortlichen oft nur "ausreichend". So wird häufig erwartet, dass der Schulserver sich automatisch auch um sämtliche Belange des WLANs und der WLAN-Sicherheit kümmert.
Konzepte
Für WLAN-Anbindung an den Schulserver sollten verschiedene Konzepte zur Verfügung stehen.
Einfache Anbindung
Interessant für kleine Schulen mit einer sehr überschaubaren Anzahl an Laptops.
Hier sollte der Administrator z.B. nur diese Laptops am WLAN-Accesspoint registrieren müssen. Danach sollten die Laptops "einfach funktionieren".
Beispiel: Der Rektor-Laptop wird am Access Point registriert. Diese Access Point dient als "Firewall" - danach stehen dem Laptop alle Möglichkeiten des Schulnetzes offen. Evtl. sollten sogar für diesen Laptop die Anmeldung und der Filter am Proxy deaktivert werden und die Firewall des Schulservers so geöffnet werden, dass dieser Laptop Emails versenden und abholen kann.
Bei dieser Lösung wird die Sicherheit komplett vom WLAN-Accesspoint sichergestellt. Ist dieser Access-Point unsicher konfiguriert, ist das Schulnetz komprommitiert.
Das einfache Internet-Kaffee
Interessant für Schulen, die den Schülern in Freistunden einen Internetzugang erlauben möchten - aber den Zugriff auf das weitere Schulnetz (evtl. mit Ausnahme der Intranet-Homepage?) verbieten.
Hier wird der WLAN-Accesspoint an ein separates Netzwerksegment angeschlossen, um die restlichen Dienste des Schulservers zu schützen. Ggf. sollte hier über eine separate Lösung (z.B. IPCop) nachgedacht werden, die nur die Authentifizierung der Benutzer über den Schulserver abwickelt aber ansonsten vom Schulnetz getrennt ist.
Die Laptops in diesem Netzwerk sollten für den Internetzugang immer über den Proxyserver ins Internet gelangen. Nur so ist sichergestellt, dass die generellen Richtlinien der Schule eingehalten werden. (So ist der Internetfilter aktiv und auch Viren können vorab gefiltert werden.)
Für den Schuladmin sollte hier entweder eine eigene Lösung zur Verfügung stehen, die soweit vorkonfiguriert ist, dass nur noch der Internetzugang und die Authentifizierungsmethode (also z.B. der LDAP-Pfad) eingetellt werden muss. Alternativ/ zusätzlich könnte eine eigene Anleitung für diesen Fall erstellt werden, die auch die Konfiguration des Schulservers (welcher dann z.B. mit einer separaten Netzwerkschnittstelle ausgestattet wird) beschreibt.
Um die Sicherheit des Schulnetzes zu gewährleisten, sollte eine eigene Lösung bereitgestellt werden.
Das "geschlossene" Internet-Kaffee
Diese Lösung enthält zusätzliche Sicherheiten im Vergleich zum zweiten Konzept: so muss - bevor ein Zugang möglich ist - jeder Laptop erst mit Nutzername registriert werden. Dies hat den Vorteil, dass der Administrator nachvollziehen kann, welcher Schüler mit welchem Laptop welche DInge angestellt hat. Je nach Komplexität dieser Registrierung (z.B. nur über die MAC-Addresse oder über ein verschlüsseltes "Ticket-System") kann dann auch die Erlaubnis skaliert werden (z.B. "Nur Internetzugang" oder "Zugriff auf Intranet-Webseiten" oder "Zugriff auf Dateifreigaben").
Hier kann man viel von öffentlichen Internet-Kaffees abschauen: die Laptops bekommen vom DHCP-Server eine IP-Adresse - und für genau diese IP-Adresse wird (wenn der Rechner noch nicht registriert ist) eine IP-Filterregel erstellt, die sämtliche Zugriffe auf eine Webseite für die Registrierung umlenkt. Hier muss der Benutzer die Benutzerordnung akzeptieren und seinen Namen angeben. Der Administrator kann dann in der einfachsten Form in einem Adminfrontend die Anfragen freischalten.
Ist der Laptop einmal registriert, kann für seine MAC-Adresse der Zugriff auf den Proxy oder den Intranet-Webserver freigegeben werden. Für Zugriff auf die Dateifreigabn wäre zu überlegen, ob ein VLAN eingerichtet und aktiviert wird.
WICHTIG: Für den Administrator muss das "Notbook freischalten" genauso einfach sein wie das anlegen eines Benutzers oder das registrieren eines Schul-PCs.
