Столкнулся со студентами, пытающимия сдать экзамен при помощи репетитора, сидящего вне института и входящего в мудл по логину студента. Как закрыть доступ извне? Как вообще организовывать сдачу экзамена по тестам?
Запрет доступа из вне института
Количество ответов: 18Re: Запрет доступа из вне института
или иной экзамен.
пт, 29 нояб. 2019 г., 17:02 Sergey Demin (отправлено через moodle.org) <
Re: Запрет доступа из вне института
Вам нужно узнать адреса используемые в классах для сдачи экзамена и то, как машины в классах подключаются к moodle.
В самом простом случае, когда клиентские машины подключаются напрямую к moodle без прокси или NAT, тогда можно ограничиться фильрами ip-адресов в тесте.
Но это ограничение легко обойти при помощи teamview/vnc на клиентской машине.
Re: Запрет доступа из вне института
Здравствуйте, Виталий. В нашем университете IP-адреса всех компьютеров локальной сети начинаются на 10. Далее идет номер этажа, за ним - номер аудитории, в которой установлен компьютер, потом порядковый номер компьютера в этой аудитории. Таким образом, чтобы тест могли выполнять только студенты, присутствующие вместе со мной в аудитории 371, я прописываю в ограничении на IP-адрес: 10.3.71.
Меня очень интересует: с помощью teamview/vnc или какими-то другими средствами действительно можно на компьютерах, расположенных вне нашей локальной сети, генерировать IP-адреса, начинающиеся на 10? А внутри локальной сети, без участия и вопреки воле наших сисадминов, 10.3.71. подделать можно?
Re: Запрет доступа из вне института
вне сети начинающиеся на 10 сделать невозможно, так как это адреса для локальных сетей и просто не будет маршрутизация работать. В локальной сети возможно, если есть возможность подключиться к локальной сети кабелем. Тогда можно прописать себе любой ip из локальной сети, лишь бы это ip не был занят другим устройством, иначе будет конфликт. Но в классе у вас 10-20 машин, а в подсети 10.3.71. 255 адресов, поэтому подобрать адрес без конфликта вообще не проблема. Технические способы защиты от таких ситуаций есть, типа умных свитчей с авторизацией на портах по сертификатам, или роутеров вместо свичей, которые могли бы по каждому порту разрешить только определенный ip, но такие решения обычно в локальных сетях не используются, из-за дороговизны, сложности настройки, ненужного усложнения инфраструктуры.
Плагин onesession в сочетании с ip-фильтром и уверенностью в том, что студент в аудитории зашел в тест даст достаточную уверенность, что даже если кто-то заморочился, подключился параллельно из локальной сети и подобрал ip, всё равно не сможет протестироваться параллельно. Плюс в логах всегда останутся записи о попытках параллельных тестов
а от teamviewer/vnc на студенческих машинах защитит safeexam browser
Re: Запрет доступа из вне института
Спасибо, Вадим, вы меня успокоили. Значит из дому никто сдать тест не сможет.
Чтобы нельзя было сдать тест, находясь в другой аудитории университета, надо вместо простого ограничения 10.3.71., которое позволяет "пополнить" эту аудиторию дополнительными фиктивными компьютерами, прописать диапазон адресов реально присутствующих в аудитории компьютеров, например: 10.3.71.1/20. Причем, во время тестирования нужно, чтобы все 20 установленных в ней компьютеров были включены? Причем включены раньше, чем компьютер злоумышленника? Я правильно понимаю? Или в случае конфликта адресов оба компьютера работать не будут?
Конечно, можно уже после тестирования того, кто прошел его из адреса 10.3.71.21, примерно наказать, но проверки и наказание отнимают время... Лучше не позволять жульничать.
Re: Запрет доступа из вне института
а от teamviewer/vnc на студенческих машинах защитит safeexam browser
- Машины с доверенной загрузкой
- Запрет запуска левых приложений
- Сеть на управляемый коммутаторах с обязательным применением 802.1X
- Сегментация ip-сети для более эффективного применения фильтрации трафика
- Видеонаблюдение
- Административные меры по проверки фейса и документов на входе в аудиторию.
- Ограничения в moodle
Re: Запрет доступа из вне института
Извините, Виталий, но я и, наверное, многие другие наши форумчане не в курсе всех этих технических подробностей и того, что из них следует. Нас интересует результат: вы согласны с выводами Вадима или нет? На мои вопросы Вадиму можете дать свой ответ?
Re: Запрет доступа из вне института
"Prep FPM" подсказывает про пароль на тест. После старта сдачи его нужно изменить.
Остается только один вопрос: если студент случайно закрыл баузер, то как ему легально продолжить сдачу теста?
Re: Запрет доступа из вне института
Re: Запрет доступа из вне института
Re: Запрет доступа из вне института
Re: Запрет доступа из вне института
Re: Запрет доступа из вне института
Re: Запрет доступа из вне института
Если запустить на студенческом компе прокси, то кроме того студент должен передать злоумышеннику cookie, содержащую идентификатор сессии, и должны быть полностью одинаковые браузеры. В целом, это всё действительно возможно, но на практике любая ошибка (например, не совпал номер версии браузера) приведет к тому, что залогируется попытка параллельного тестирования. Поэтому вероятность провернуть такое вообще без следов на обычном браузере ничтожно мала, а если давать студенту уже запущенный safeExamBrowser, то мне кажется вообще невозможно.
Прокси запустить несложно, приложения могут запускаться от любого пользователя, Но просто запустить прокси на компьютере недостаточно - нужно ещё открыть для него порт. В windows для этого требуется разрешение, поэтому если у студента на ваших компьютерах нет админских прав, то сделать это не получится. А если есть, то меняйте своих сисадминов, потому что так не должно быть.
Re: Запрет доступа из вне института
Re: Запрет доступа из вне института
Причем включены раньше, чем компьютер злоумышленника? Я правильно понимаю? Или в случае конфликта адресов оба компьютера работать не будут?
Re: Запрет доступа из вне института
Спасибо, Вадим, что вы все уточнили.
Как именно записывать диапазон IP-адресов в параметрах теста (через слеш или черточку) контекстная справка Moodle 2 и 3 умалчивает, а вот в Moodle 1 об этом говорилось так:
В этом поле можно использовать три формы записи IP адресов:Так что, извините, я этой справкой руководствовался. Возможно она ошибочна.
1. Полный IP адрес конкретного компьютера (или прокси-сервера), например, 192.168.10.1.
2. Запись части IP адреса, например, 192.168., которая будет соответствовать всем компьютерам, находящимся в данной локальной сети, адреса которых начинаются этими числами.
3. Групповой IP адрес (CIDR), например, 231.54.211.0/20, соответствует группе компьютеров, имеющих адреса от 231.54.211.0 до 231.54.211.20.
В этом поле можно указать несколько адресов или диапазонов адресов, отделяя их запятыми. Пробелы при этом игнорируются. Например: 192.168.,231.54.211.0/20, 231.3.56.211