W10 / W11 : comment cacher une clé WIFI ?

[LeDam]

Entre nous, est-ce qu'il ne faudrait pas mieux laisser un wifi ouvert et controlé dans les écoles, plutôt que de les laisser se connecter aux réseaux mobiles , par définition sans contrôle ?

De toutes façons, ils ont tous des portables désormais.

Non car le souci n'est pas spécialement là.
Là où ils seront bridés, ils utiliseront de toute manière leur data mobile et pour le reste, le wifi de l'école.

Le gros problème, c'est que 750 devices d'élèves connectés en permanence sur le réseau, ça pompe bien (même si filtré) et le reste de l'informatique scolaire et administratif est dans les choux.

[tntuner]

Dans l'école de ma fille (14 ans) c'est pire. Accès wifi "toléré" pour tous, mais sans aucun filtrage!
J'ai déjà alerté la directrice, mais comme elle n'y comprend pas grand chose à la tech, elle a dit qu'elle en parlerait au prof qui s'y connait et qui gère le wifi de l'école. Ca fait maintenant 2 ans et toujours aucun filtrage.

[Mackguil]

Bravo pour le Forum.
je suis Technicien IT dans une école.

J'ai eu le même problème , divulgation de mot de passe, probablement un prof sur une session ouverte, merci Windows d'afficher ca en clair.
Du coup, une foule de GSM élèves interdits qui se baladaient sur le Wifi réservé aux tablettes.
Le plus drole c est que leur 3G leur donne plus de possibilités puisque le trafic école est filtré par un Firewall correct.
Mais bon c'est tellement fun de dire "je suis sur le wifi de l'école" . Pas de chance les gars, repérés.

La solution était simple à mettre en place effectivement comme dit plus bas, activation d'un filtrage de Mac Adress .

Infra en place : 24 AP-PRO Unifi et un Controller Linux tournant sur une VM.
Le mot de passe n'était connu que de 2 IT de confiance.
J'ai tenté un Aircrack sur mon système, histoire de vérifier si c'était faisable, il tourne toujours.
(un véritable hacker pourrait évidemment)

J'avais peur que le système ne résiste pas à une charge excessive de filtrage, mais il est prévu pour 4 WIFI séparés de 512 adresses sur papier
et pour l'instant , il tient la charge, pour environs 120 tablettes Apple + 10 TVI + 20 PC Windows prof. (on verra quand ils seront 800 )

Evidemment, il a fallu appliquer la bonne vieille technique de "je mets tout le monde dehors , puis je réautorise " , mais ca c est bien passé, c'était transparent.
puis on attend de voir si certains utilisateurs se plaignent d'être subitement déconnectés
ca permet par la même occasion de nettoyer.

Gros inconvénient... passage obligé par le bureau du support IT pour enregistrer les appareils . Donc c'est de la gestion en plus.
Mais effectivement si c est le prix de la tranquillité.

Si mon expérience peut servir à d'autres

G0

Welcome.

Si un pti malin récupère une mac autorisée sur le réseau, la spoof, ça réagira comment le système mis en place ?

[G0TArt]

A mon sens non, c'est trop de gestion. De plus, je ne suis pas censé filtrer leurs appareils (Byod, respect RGPD ou vie privée) . Le débat est large.
Vous n'imaginez pas en début d'année principalement le nombre de tentatives bloquées pour aller sur des sites d'arme, de drogue, de jeux, de X et j'en passe et ca à partir des PCs de l'école.
J'ai même chopé (bloqué) un jour un prof sur Tor et le Darknet. Donc fini d'utiliser son PC privé sur le réseau de l'école. C'est trop la foire.
Mon firewall avait déclenché plusieurs alertes. Le type est parti vexé car "on revenait en arrière" selon lui.
Donc non merci :) ils auraient vite fait de repartir sur leur 4G de toutes manières puisque moins bridé.

Le mieux reste la prévention et l'éducation quel que soit le moyen de se connecter.

[solar10]

Vous avertissez de ce qui est permis ou pas? Genre une affiche qui explique comment utiliser le WiFi de l'école, ce qui est filtré et pourquoi, ... et les conséquences pour celui qui enfreint le règlement?

[G0TArt]

oui et non , c'est une bonne remarque
nous avertissons professeurs et élèves au moyen d'une charte comme celle de la Fédération Wallonie Bruxelles pour l'utilisation du matériel IT au sens large. Elle indique en gros "en bon père de famille". Mais pas précisément au niveau du WIFI et du filtrage ni des conséquences.
Evidemment, le simple bon sens voudrait que dans une école personne n'aille sur ce type de site.
Je vais soumettre l'idée à la référente numérique pour la prochaine version.
Merci

Ajouté après : 4 minutes 3 secondes:

Welcome.

Si un pti malin récupère une mac autorisée sur le réseau, la spoof, ça réagira comment le système mis en place ?

très bonne idée aussi, je serai curieux de tester, mais perso je manque de temps pour faire le test.
Ca pourrait être l'objet d'un stage (il faut un stagiaire avec le niveau en réseau) .
Installer un réseau de test , tenter de le spoofer, puis tester sur le système en production.

Alerte de modération

Remise en place des quotes, pour une meilleure lisibilité.

[Unix-Linux]

J'imagine qu'ils doivent avoir des logiciels genre iproute2 pour détecter le Mac spoofing ou promiscuous mode (NIC) pour le packet sniffing

Il y a aussi une kyrielle de "packet analyzer" genre netscout, Wireshark, tcpdump, ...

[LeDam]

Je remarque de mon côté que dès que ça devient "complexe", les élèves ne sont pas nombreux à chercher un moyen de se connecter au wifi.
Quelques débrouillards y arrivent et font la modifs pour leurs potes proches. Ca se limite à une vingtaine de personnes sur 750.
Là, je viens d'en bloquer "définitivement" 200 qui se sont connectés sur le wifi réservé aux Chromebooks (dévoilé par un prof) dont je connais les adresses MAC.
Tout ce qui n'était pas Chromebook a été éjecté et bloqué... et j'en récolte encore plusieurs par jour

Prochaine opération : créer un SSID du style "WIFI secret", le noter sur une feuille avec son password et la laisser trainer par terre dans un local de rhéto... et retourner à la pêche une semaine plus tard !
Je ne pense pas le faire, c'est trop facile

[Mackguil]

Dommage que je ne sois pas un des étudiants de ton école, je te ferais tourner chèvre, t'imagine t'arrive le matin, paf au démarrage des pc, Linux qui s'installe tous seul sur les machines.

[solar10]

LOL, Sale type !
Notes que, bravo l'équipe. Parce que je suppose que vous n'êtes pas spécialement payés pour ça.
Et perso, si un jour, une fois en retraite, je peux faire ce genre de bénévolat dans un petit bled de province, ce sera pas pour me déplaire.

[LeDam]

Dommage que je ne sois pas un des étudiants de ton école, je te ferais tourner chèvre, t'imagine t'arrive le matin, paf au démarrage des pc, Linux qui s'installe tous seul sur les machines.

Non dis ! ...j'aimerais bien garder mon accès au chat de Hey Telecom

LOL, Sale type !
Notes que, bravo l'équipe. Parce que je suppose que vous n'êtes pas spécialement payés pour ça.
Et perso, si un jour, une fois en retraite, je peux faire ce genre de bénévolat dans un petit bled de province, ce sera pas pour me déplaire.

Tu n'auras pas de mal à trouver... je ne connais aucune école qui refuserait ce genre de service pour lequel WBE s'en contrebalance et n'a à ce jour toujours prévu aucun statut.