Rogue-AP-Isolation

Infrastruktur Switching
#1

Hallo zusammen,

das Thema kommt euch vielleicht bekannt vor. Es gibt immer wieder Leute, denen die vorhanden Wifi-Infrastruktur nicht passt, oder mit den Zugangsregularien nicht einverstanden sind und auf die glorreiche Idee verfallen in Klassen- und Lehrerzimmern eigene APs, WLAN-Router, etc. installieren und mit dem Schulnetz verbinden.

Verständlicherweise findet der Schulträger, der mit nicht unerheblichen finanziellem Aufwand an Steuermitteln eine leistungsfähige WLAN-Infrastruktur installieren hat lassen, es überhaupt nicht gut, wenn auf diese Art und Weise ständig die Nutzungsbestimmungen des Schulnetzes und seitens des Schulträgers unerwünschtes BOYD ermöglicht wird.

1.) Wie geht ihr damit um?
2.) Auf technischer Ebene haben einige Switches und APs ja die Funktion rogue-ap-isolation. Die macht folgendes: Ein verwalteter AP erkennt einen RogueAP und sendet diese Informationen mittels proprietärem LLDP TLV Prokolls an seinen Switch. Der Switch erkennt auf welchem Port der RogueAP hängt und sperrt per MAC-Block den RogueAP sowie alle damit verbundenen Geräte aus. Soweit die Theorie. In der Praxis siehts momentan eher so aus, die APs erkennen (manchmal) einen RogueAP und auf dem Switch passiert —> Nix

Hat jemand sowas schon funktionsfähig am laufen?

Liebe Grüße
Thomas

#2

Hallo Thomas,

bei einem Defaultlinuxmuster.net Netz bringt es ja nix einfach einen WLAN AP an eine Netzwerkdose an zu schließen: der kommt ja nicht ins Internet.
Es wäre also „Witzlos“ …

Viele Grüße

Holger

#3

Hallo Holger,

was wäre ich froh, wenn an DER Schule irgendwas mal nach Defaultlinuxmuster.net den Anforderungen DER Schule entsprechen täte… :rofl:

Viele Grüße
Thomas

#4

Hallo Thomas,

… Proxy mit SSO wollen die also auch nicht.
Das würde das mit dem AP ja auch zunichte machen …
Da fragt man sich: wo sind die Restriktionen die die Begehrlichkeiten nach so einem AP wecken …

Es gibt wohl nichts, was es nicht gibt :slight_smile:
LG

Holger

#5

Hallo Holger,

es geht eigentlich um eine andere Sache als Internetzugang.

Zum einen geht es darum, dass einer Gruppe, Schülern mit Privatgeräten, WLAN-Zugriff ermöglicht wird, die keinen WLAN-Zugriff haben sollte.

Der Schulträger sagt: „Private Schüler-Endgeräte sind ein potentielles Sicherheitsrisiko. Deswegen ist BYOD UNERWÜNSCHT! Wenn es zusätzlich zur bisherigen Ausstattungen weiteren Bedarf an mobilen Endgeräten für pädagogische Anwendungsfälle gibt, werden diese im Rahmen des Beschaffungsplans bereitgestellt. Der Bedarf der Schule ist auf dem üblichen Weg dem Schulverwaltungsamt zu melden.“

Zum anderen stellen RogueAPs immer ein Sicherheitsrisiko dar (potentielle Möglichkeit zum Ausspähen von Kennwörtern mittels Rogue-Radius etc…).

Die ideale (und professionelle, leider aber auch kostenintensive) Lösung für das Problem wäre wohl NAC.

Sonst bleibt mir nur die Möglichkeit alle Nase lang alle „wilden Geräte“ einzusammeln und ein Schild mit der Aufschrift „Sie können ihr Gerät bei der Schulleitung wieder abholen!“ zu hinterlassen.

Liebe Grüße
Thomas

P.S.: Davon abgesehen finde ich die Auffassung des Schulträgers nicht falsch. BYOD ist strenggenommen nichts anderes als ein Behelf, wenn die Schule nicht in ausreichender Anzahl eigene Geräte verfügt. In der Wirtschaft komme ich mit meinem privaten Endgerät auch in kein Firmennetz, sondern lande bestenfalls in irgendeinem gekapselten Gastnetz.

#6

Hallo Thomas,

aber das ist doch mein „blaues“ WPA2enterprise Netz.
Das ist ja an der blauen Netzwerkkarte der Firewall und „kann nur raus“ und nicht rein ins Schulnetz.
Insofern: die sind in einem gekapselten Netz.
Der Vergleich mit Firmen hinkt auch ein wenig: die Schüler sind ja keien „Mitarbeiter“ die von der Firma ausgestattet werden.
Natürlich ist es wünschenswert, wenn die Schule das alles bereitstellen kann: aber das machen wir bei anderen Lehrmitteln auch nicht.
Bücher gibt es von der Schule: schon bei Workbooks wird es eng: manche gibt es, manche nicht. Blatt Papier, Stifte: Fehlanzeige.
„Alles“ muss die Schule nicht stellen. Klar: digitale Endgeräte haben da einen ganz anderen Kostenpunkt als Papier und Stifte…
Ich kann es nciht entscheiden: ich bin da noch unentschieden.

LG

Holger