Internet in der Schule

[seyyes]

In unserer Schule sind die Lehrer ebenfalls zur Ansicht gekommen, dass Schüler durch das Internet in Laptop-Klassen (WLan-Anbindung) oder Computerräumen die meiste Zeit eher abgelenkt sind. Nur wenn der Lehrer sehr klare Recherche-Aufgaben gibt, mit Hinweisen, wie zu rechergieren sei, wird es sinnvoll genützt.

Deshalb soll der Internetzugang abgeschalten werden, und nur bei Bedarf klassenweise eingeschaltet sein. Wir wollen diese Zugangsaktivierung über eine Liste der Mac-Adressen der Klassen-Computer lösen. (So kann ein Laptop-Schüler über die Änderung der Mac-Adresse seines Laptops nur erreichen, dass er gar nicht mehr ins Netz kommt.) Klingt gut, aber es fehlt uns selbst dazu an näherem Know-How, denn:

Der einzelne Lehrer soll den Schalter für die Klasse schnell vom Lehrercomputer aus bedienen können, ohne sonstige Administratoren-Rechte oder Netzwerk-Kenntnisse zu haben.

Und: Das Netzwerk muss aktiv bleiben, das bedeutet, die Schüler müssen weiterhin auf den Schulserver zugreifen können, wo die Unterrichtsunterlagen liegen.

Ein Programm, das dies kann, würde allen Schulen weiterhelfen. Wenn jede Schule einen kleinen Beitrag zahlt wäre die Programmierung wohl finanzierbar. Es könnte auch beim Ministerium nachgefragt werden, um solch eine Programmierung zu fördern.

Die Ampel für einzelne Computer einer Klasse, ist aus meiner Sicht erst der nächste Schritt...

Bearbeitet 28. Oktober 2008 von seyyes

[flashpixx]

Grundsätzlich kann man auch eine MAC Adresse ändern. Also 100%ige Sicherheit gibt es nicht.

Die Filter des Datenverkehrs arbeiten auf Layer 3 (IP) und nicht auf 2 (MAC / LLC), somit kann die Filterung nicht auf 2 stattfinden.

Weiterhin bietet wie in den anderen Postings beschrieben nur eine sinnvolle Änderung der Filterregeln auf dem Router ins Internet. Ein WLAN Netz (ich hoffe es wurde in ein gesondertes Subnetz gelegt) bietet die Möglichkeit dass Rechner sich nicht raumbezogen im Netz aufhalten. So dass hier nicht nach Räumen gefiltert, sondern nach Rechnern gefiltert werden muss.

Es wäre deshalb sinnvoll, wenn die Rechner durch einen DHCP und ihre MAC Adresse immer die gleiche IP erhalten, diese nicht durch den Benutzer am Rechner geändert werden kann. Und im Router (wie auch immer) die Regeln on-fly auf Benutzereingabe erlaubt bzw verboten werden.

Dafür braucht man auch kein Programm, sondern nur Kenntnisse über das Netzwerk. Das "Programm" bzw die GUI die kann mit etwas PHP Kenntnissen auch selbst programmieren.

Du hast hier leider keine Daten über das Netzwerk gepostet, warum?

Darum war gebeten worden.

Phil

[seyyes]

Genau deshalb weil IP-Adressen oder Mac Adressen geändert werden können, muss es so sein, dass der Internetzugang nur den erfassten Computern frei steht, wenn er vom Lehrer freigegeben wird. Ändert der Schüler seine Mac-Adresse fällt er unter die nicht erfassten Computer, und kommt nicht mehr ins Netz, hat also keinen Gewinn.

Die Laptop-Schüler sind ja ihre eigenen Systemadministratoren. Sie besitzen ihren Computer. Wir dürfen ihn genaugenommen nicht mal anrühren. Deshalb können wir auch nicht verhindern, dass sie ihn verstellen, um wieder in das Netz zu kommen. Mac-Adressen gibt es angeblich nur einmal. Das bedeutet, hier können sie uns nicht umgehen, ohne einem anderen Schüler zu schaden, was auffallen würde.

Genauere Informationen über das Netz kann ich nicht geben, weil ich es nicht administriere. Unser Administrator reagiert auf den Wunsch von uns Lehrern, dass wir das Netz Klassenweise nur bei Bedarf einschalten wollen, mit "geht nicht".

Nun ergibt sich noch eine andere Frage: Wenn es schon unmöglich scheint den Zugang zu bestimmen (was man ja als Laie nicht glauben sollte), ist es dann vielleicht möglich, den Lehrern (die ja keine Administratorenrechte und Kenntnisse haben) einen Zentralschalter zu geben: Internet ein oder aus. Das wäre auch schon ein Gewinn. Aber wohlgemerkt, es geht um das Internet. Das Interne WLAN und der Zugriff auf den Schulserver muss immer da sein.

PS: Übrigens haben heute alle Schulen erkannt, dass dauernd verfügbares Internet Schüler öfter ablenkt als Unterricht fördert. Nur wenn klare Recherche-Aufgaben mit Zeitlimit gegeben sind, wird Internet hin und wieder sinnvoll genutzt. So haben alle Schulen das Problem, und bis hinauf ins Ministerium sucht man nach einer Lösung. Da könnte also auch ein Programm finanziert werden.

Bearbeitet 28. Oktober 2008 von seyyes

[seyyes]

Wahnsinn... ich hänge schon den ganzen Tag in Foren rum... und es scheint nichts machbar. Unsere Laptop-Schüler werden den ganzen Tag vom Internet abgelenkt, sind kaum mehr zu unterrichten, weil sie da immer irgend etwas offen haben, (kollektiver Ungehorsam ist schwer zu strafen, denn dann heißt es "warum grad ich?") und wir können Internet nicht mal zentral im Router abschalten, weil es kein Progrämmchen gibt, das den Lehrern als "nicht-Administratoren" das wieder-Einschalten für Rechergeaufgaben ermöglichen würde.

Ich könnte genausogut Volksschüler in einem Spielzeugkaufhaus unterrichten, und bitten, sie mögen nicht hinsehen. Erst ein Erwachsener kann sich der Ablenkung entziehen, um wieder einen klaren Kopf zu bekommen. Kinder haben nicht das Bewusstsein um diese Notwendigkeit zu erkennen.

[Thanks-and-Goodbye]

Wäre es da nicht einfacher, einen transparenten Proxy zu verwenden, der ein sauberes Accounting beherrscht?

Für den Zeitraum, in dem Zugriff auf das Netzwerk benötigt wird, einen Einmaluser mit Wegwerfpasswort generieren, bekanntgeben und im Anschluss wieder disablen oder sogar löschen.

[seyyes]

Heute war Konferenz, und die Lehrerbande fand die Idee, dass das Internet nur klassenweise eingeschaltet wird, wenn wir es im Unterricht brauchen, großartig.

Also, wie schon gesagt, das schulinterne Netzwerk soll immer aktiv sein. Also Intranet ist immer an. Nur das Internet soll im Normalzustand ausgeschaltet sein. Das bedeutet, wir wollen nur bei Bedarf bestimmte Mac-Adressen (einer Schulklasse) zulassen.

Die Mac-Adressen der Computer einer Klasse verwenden wir bereits als Zugangsfilter zum hausinternen WLAN durch einen Mac-Filter am Router. Dass wir sie auch danach, beim Zugang vom Server ins Internet verwenden können, darauf verweist folgender Artikel:

How to Filter MAC Address with Windows Server 2003/2008 DHCP Server Callout DLL

Auf Deutsch: http://wolfgang-on-the-road.spaces.live.com/blog/cns!F135E7D1136D4C5A!1161.entry

Jetzt fehlt nur noch ein schlauer Kerl, der damit etwas anfangen kann, denn so wie ich das sehe fehlt nun das Programm, das den Lehrern (die ja keine vollen Administratorenrechte haben sollen) den klassenweisen Zugang auf diese Schaltmöglichkeit gibt.

Eine Klasse definiert sich aus allen Mac-Adressen der Schüler, die darin sitzen.

Vielleicht interessiert es jemanden so etwas zu programmieren. Unsere Schule wird zwar den Zeitaufwand nicht voll finanzieren, aber wenn man es noch einigen anderen Schulen verkauft....

Bearbeitet 30. Oktober 2008 von seyyes

[hades]

Filter auf MAC-Adressen ist keine gute Idee.

MAC-Adressen lassen sich mit den gewuenschten lokalen Admin-Berechtigungen beliebig vergeben und damit auch die Sperre umgehen.

Denn irgendwann bekommen es Schueler auch mit, was genau das Filter-Kritierium ist.

Besser ist der vom Chief angesprochene transparente Proxy mit User-Authentifizierung.

[seyyes]

Ja, freilich, ein Schüler könnte eine Mac-Adresse der Klasse im Nebenraum verwenden, die vielleicht gerade im Netz ist. Aber wenn die wieder aus dem Netz gehen, und plötzlich will der Lehrer seiner Klasse mit den Schülern ins Netz, hinkt er hinten nach, weil er wieder zurück zu seiner alten Adresse will. Das wird schnell zu umständlich, zumal er ja nicht weiß wann eine andere Klasse im Netz ist. Der Server nimmt ja nur angemeldete Mac-Adressen, oder?

Was die Idee von Chief betrifft, werde ich sie den Administratoren vorlegen. Ich verstehe sie zu wenig.

[hades]

Das wird schnell zu umständlich, zumal er ja nicht weiß wann eine andere Klasse im Netz ist.

Das Veraendern einer MAC-Adresse geht mit geeigneten Tools innerhalb einer Minute.

Bei WLAN koennte auch eine Benutzer-Authentifizierung ueber einen Radius-Server genutzt werden (IEEE802.1X). Damit kannst Du dann auch das Problem von evt. wechselnden Laptops eines Schuelers in den Griff bekommen. Sonst muesstest Du bei der Loesung mit MAC-Adressen immer die Laptops der einzelnen Klassen in der MAC-Tabelle pflegen (lassen).

Transparenter Proxy mit einfachen Worten:

- Keine Aenderung an den PCs/Laptops

- Router/Firewall mit Weiterleitung von (HTTP/HTTPS-)Ports auf einen Proxy

oder

- Router/Firewall ist gleichzeitig der Proxy

Im Proxy wird dann ein oder mehrere Userkonten fuer den Internetzugriff aktiviert bzw. fuer den gewuenschten Zeitraum erstellt.

Der Schueler muss dann dieses aktivierte Userkonto bei sich im Browser eingeben, um den Zugriff auf das Internet zu erhalten.

Wenn das Userkonto wieder inaktiv / geloescht ist, gibt es keinen Internet-Zugriff mehr.

U.a. kann das die kostenlose Loesung ipcop.

Bearbeitet 31. Oktober 2008 von hades

[Cupido]

Hi!

Unsere Firma betreut diverse Schulen in Bayern, und dort werden die Computerräume durch PCI Karten geschützt und können durch den Lehrer kontrolliert werden. Von seinem Rechner aus kann er den Internet zugriff einschränken, Bildschirme Schwarzschalten, oder die Schülermonitore von seinem Platz aus einsehen.

Anscheinend gibt es so eine Lösung auch auf Software Ebene.. Nennt sich dann Dr. Keiser AdminDidakt, und verspricht den gleichen Funktionsumfang.

Allerdingshaben wir diese noch nie benutzt, und es könnte sein das es nicht so toll ist wie es klingt. Aber da sollte man sich einfach mal an die Firma wenden, und sich das ganze genau erklären lassen.

Grüße

[Crash2001]

@Cupido:

Das ist aber bei Schul-PCs mit den PCI-Karten.

Auch die Software-Lösung ist mit Schüler-Laptops nicht realisierbar, da dafür wohl ein Client auf den Rechnern, die damit administriert werden sollen, installiert werden muss.

Es muss also möglichst auf der Hardwareebene der Verkabelung zum Internet geschehen.

Bei administrierbaren Switchen wäre die mittels eines kleines Skrites ohne Probleme möglich, indem einfach eingestellt wird, dass bestimmte Switchports einfach nur noch ins interne Netz dürfen. Das lässt sich mittels Access-Listen ziemlich leicht regeln. Dafür müssen aber natürlich die Switche administrierbar sein...

[Cupido]

moment, das stimmt so nicht ganz. Ich meinte ich kenne die PCI lösung in und auswendig, aber ich kenne AUCH eine Software lösung... sorry falls das undeutlich war.

Mir gehts hier wegen laptop um die Software lösung, wo sich der Schüler beim Lehrer anmeldet, und so eben die genannten Funktionen ausgeführt werden können. Da muss zwar jeder schüler einen client installieren und sich dann beim lehrer anmelden.. aber das wars auch schon.

(Ich gehe hierbei gerade davon aus das der Lehrer nicht an einem Notebook sitzt.. sollte ich das überlesen haben, vergesst meine beiträge ;D)

Bei programmierbaren switches und so weiter wo die einzelnen schüler PCs eingetragen werden.. Super sache, aber riesiger Administrationsaufwand auf dauer.. Da kauft sich der eine ein neues notebook, der andere hat vielleicht sein WLAN Modul getauscht und ne neue MAC adresse.. Gerade bei schülern ändert sich ständig was.

Bearbeitet 4. November 2008 von Cupido

[flashpixx]

Moment, warum soll hier jetzt auf einmal an den Rechner der Schüler etwas verändert werden?

Wer ist denn bitte der Eigentümer des Rechners? Also wenn der Rechner mein persönliches Eigentum ist, würde ich mich dagegen wehren, dass dort etwas verändert wird.

Und es ging doch um den Zugang zum INet: Also wäre es sehr hilfreich, wenn bitte mal die geforderten Informationen über die Netzwerkinstallation gepostet würden !!

Ich sehe eine solide und vor allem sichere Lösung entweder auf Filterung IP / Port Ebene bzw die Lösung mit einem (transparenten) Proxy. Wenn aber die MAC Adressen der Geräte bekannt sind, was würde dagegen diese in ein LDAP Verzeichnis zu legen, via Radius an die Accesspoints zu verteilen und im LDAP Gruppen über die MAC Adressen zu bilden, die dann den Klassen entsprechen und dann zentral in der Firewall eben aufgrund der LDAP Daten die IP Tables dynamisch per Klick (aus einem Browserinterface) zu verändern?

Phil

[RipperFox]

..Internetzugang abgeschalten werden, und nur bei Bedarf klassenweise eingeschaltet sein..

Ich würde 'nen managebaren Switch so nutzen, daß er als "Schalter" für die Verbindung Internetrouter und Switches der Klassenräume dient.

Das Ganze über nen Webinterface automatisieren und ggf. nen Admin-VLAN einrichten mit dauerhaftem Internet Zugriff und fertig..

. Wir wollen diese Zugangsaktivierung über eine Liste der Mac-Adressen der Klassen-Computer lösen. (So kann ein Laptop-Schüler über die Änderung der Mac-Adresse seines Laptops nur erreichen, dass er gar nicht mehr ins Netz kommt.) Klingt gut, aber es fehlt uns selbst dazu an näherem Know-How,

- Du müsstest die MACs speichern, verwalten, etc. - Port an- und ausschalten is einfacher..

- Hol dir ggf. jemand, der sich damit auskennt

Ein Programm, das dies kann, würde allen Schulen weiterhelfen. Wenn jede Schule einen kleinen Beitrag zahlt wäre die Programmierung wohl finanzierbar. Es könnte auch beim Ministerium nachgefragt werden, um solch eine Programmierung zu fördern.

Die Ampel für einzelne Computer einer Klasse, ist aus meiner Sicht erst der nächste Schritt...

Noch billiger & einfacher geht's mit intelligenter Verkabelung und "Stecker ziehen"..

Grüße

Ripper

[Crash2001]

@RipperFox:

Dann ist aber kein Intranetzugang möglich, oder die Räume müssen alle mehrfach angebunden werden.

Access-listen per Script aktivieren/deaktivieren ist da die bessere Wahl.

Zudem die WAP-Keys regelmässig ändern, so dass sich nicht ein Schüler einfach an einem anderen AP anmelden kann und so trotzdem ins Internet kommt.

Gut - wer GPRS/UMTS im Notebook integriert hat, dem kann man den Zugang eh nicht verwähren, ausser man installiert noch entsprechende Störsender. Dafür geht er dann aber auch auf eigene Kosten ins Netz.

[RipperFox]

@RipperFox:

Dann ist aber kein Intranetzugang möglich, oder die Räume müssen alle mehrfach angebunden werden.

Mehrfachanbindung -> VLAN?

Das mit den WPA-Keys ändern is so ne Sache - die APs, bei denen das per SNMP o.ä. geht sind nicht gerade billig..

Ohne mehr Informationen zur verwendeten Verkabelung/Infratruktur können wir nur raten, wie eine passende Lösung aussieht..

Grüße

Ripper

[Crash2001]

Mehrfachanbindung -> VLAN?[...]

Vlans bringen dir auch nichts, wenn du den Port abschaltest...

Wenn schon dann das routing zwischen den vlans temporär verhindern oder das vlan "deaktivieren".

[RipperFox]

Vlans bringen dir auch nichts, wenn du den Port abschaltest...

Wenn schon dann das routing zwischen den vlans temporär verhindern oder das vlan "deaktivieren".

In meinem ersten Posting missverständlich ausgedrückt:

"Port deaktivieren" = "Schalter umlegen" = "VLAN, Routing oder was auch immer unterbinden".

Wie ich schon sagte: Ohne mehr Informationen über die Gegebenheiten -> keine genaueren Lösungsvorschläge..

Die Hardwareausstattung in Bildungseinrichtungen ist meist nicht besonders (managebare Switches, etc.).

Der Threadstarter sollte sich ggf. jemand holen, der sich damit auskennt.

Grüße

Ripper