Столкнулся со студентами, пытающимия сдать экзамен при помощи репетитора, сидящего вне института и входящего в мудл по логину студента. Как закрыть доступ извне? Как вообще организовывать сдачу экзамена по тестам?
Запрет доступа из вне института
Number of replies: 18
Re: Запрет доступа из вне института
Можно в настройках теста задать определённый ip с которого можно сдать тот
или иной экзамен.
пт, 29 нояб. 2019 г., 17:02 Sergey Demin (отправлено через moodle.org) <
или иной экзамен.
пт, 29 нояб. 2019 г., 17:02 Sergey Demin (отправлено через moodle.org) <
Re: Запрет доступа из вне института
Все зависит от сети университета.
Вам нужно узнать адреса используемые в классах для сдачи экзамена и то, как машины в классах подключаются к moodle.
В самом простом случае, когда клиентские машины подключаются напрямую к moodle без прокси или NAT, тогда можно ограничиться фильрами ip-адресов в тесте.
Но это ограничение легко обойти при помощи teamview/vnc на клиентской машине.
Вам нужно узнать адреса используемые в классах для сдачи экзамена и то, как машины в классах подключаются к moodle.
В самом простом случае, когда клиентские машины подключаются напрямую к moodle без прокси или NAT, тогда можно ограничиться фильрами ip-адресов в тесте.
Но это ограничение легко обойти при помощи teamview/vnc на клиентской машине.
Re: Запрет доступа из вне института
Здравствуйте, Виталий. В нашем университете IP-адреса всех компьютеров локальной сети начинаются на 10. Далее идет номер этажа, за ним - номер аудитории, в которой установлен компьютер, потом порядковый номер компьютера в этой аудитории. Таким образом, чтобы тест могли выполнять только студенты, присутствующие вместе со мной в аудитории 371, я прописываю в ограничении на IP-адрес: 10.3.71.
Меня очень интересует: с помощью teamview/vnc или какими-то другими средствами действительно можно на компьютерах, расположенных вне нашей локальной сети, генерировать IP-адреса, начинающиеся на 10? А внутри локальной сети, без участия и вопреки воле наших сисадминов, 10.3.71. подделать можно?
Re: Запрет доступа из вне института
вне сети начинающиеся на 10 сделать невозможно, так как это адреса для локальных сетей и просто не будет маршрутизация работать. В локальной сети возможно, если есть возможность подключиться к локальной сети кабелем. Тогда можно прописать себе любой ip из локальной сети, лишь бы это ip не был занят другим устройством, иначе будет конфликт. Но в классе у вас 10-20 машин, а в подсети 10.3.71. 255 адресов, поэтому подобрать адрес без конфликта вообще не проблема. Технические способы защиты от таких ситуаций есть, типа умных свитчей с авторизацией на портах по сертификатам, или роутеров вместо свичей, которые могли бы по каждому порту разрешить только определенный ip, но такие решения обычно в локальных сетях не используются, из-за дороговизны, сложности настройки, ненужного усложнения инфраструктуры.
Плагин onesession в сочетании с ip-фильтром и уверенностью в том, что студент в аудитории зашел в тест даст достаточную уверенность, что даже если кто-то заморочился, подключился параллельно из локальной сети и подобрал ip, всё равно не сможет протестироваться параллельно. Плюс в логах всегда останутся записи о попытках параллельных тестов
а от teamviewer/vnc на студенческих машинах защитит safeexam browser
Re: Запрет доступа из вне института
Спасибо, Вадим, вы меня успокоили. Значит из дому никто сдать тест не сможет.
Чтобы нельзя было сдать тест, находясь в другой аудитории университета, надо вместо простого ограничения 10.3.71., которое позволяет "пополнить" эту аудиторию дополнительными фиктивными компьютерами, прописать диапазон адресов реально присутствующих в аудитории компьютеров, например: 10.3.71.1/20. Причем, во время тестирования нужно, чтобы все 20 установленных в ней компьютеров были включены? Причем включены раньше, чем компьютер злоумышленника? Я правильно понимаю? Или в случае конфликта адресов оба компьютера работать не будут?
Конечно, можно уже после тестирования того, кто прошел его из адреса 10.3.71.21, примерно наказать, но проверки и наказание отнимают время... Лучше не позволять жульничать.
Re: Запрет доступа из вне института
а от teamviewer/vnc на студенческих машинах защитит safeexam browser
А от прокси-сервера запущеной на студенческом компе? Прокси-сервер не требует никаких привилегий в отличии от teamviewer/vnc
Ограничение на адреса + ограничение на число сессий это средства moodle и их совместное применение дает защиту от неквалифицированных хакеров.
Moodle не предназначен для борьбы с подменой адресов в сети. У вас для этого есть администратор сети 
Параноидальный вариант:
- Машины с доверенной загрузкой
- Запрет запуска левых приложений
- Сеть на управляемый коммутаторах с обязательным применением 802.1X
- Сегментация ip-сети для более эффективного применения фильтрации трафика
- Видеонаблюдение
- Административные меры по проверки фейса и документов на входе в аудиторию.
- Ограничения в moodle
Re: Запрет доступа из вне института
Извините, Виталий, но я и, наверное, многие другие наши форумчане не в курсе всех этих технических подробностей и того, что из них следует. Нас интересует результат: вы согласны с выводами Вадима или нет? На мои вопросы Вадиму можете дать свой ответ?
Re: Запрет доступа из вне института
Ограничение ip + onesession + отсутствие возможности запустить посторонний софт на компьютере сдающего снижает вероятность "левых" выполнений тестов почти до нуля.
"Prep FPM" подсказывает про пароль на тест. После старта сдачи его нужно изменить.
Остается только один вопрос: если студент случайно закрыл баузер, то как ему легально продолжить сдачу теста?
"Prep FPM" подсказывает про пароль на тест. После старта сдачи его нужно изменить.
Остается только один вопрос: если студент случайно закрыл баузер, то как ему легально продолжить сдачу теста?
Re: Запрет доступа из вне института
Виталий, вы подбросили нам еще больше технических подробностей, но на мои вопросы так и не ответили...
Re: Запрет доступа из вне института
Ограничение ip + onesession + отсутствие возможности запустить посторонний софт на компьютере сдающего снижает вероятность "левых" выполнений тестов почти до нуля.
Re: Запрет доступа из вне института
Так я не об этом спрашивал. Ну ладно, Вадим, по-моему, все прояснил!
Re: Запрет доступа из вне института
Если студент закрыл браузер / сгорел компьютрер / выключился свет и т.п., он снова заходит в тест и видит сообщение, что идет сдача с другого компьютера и нужно обратиться к преподавателю. При этом в логи пишется о попытке параллельного прохождения теста. Преподаватель по просьбе студента заходит в тест жмет "разрешить прохождение теста с другого устройства" и студент снова заходит в тест. При этом предыдущая сессия блокируется (в случае, если студент ничего не закрывал, а просто пересел за другое устройство или открыл другой браузер), и при попытке прохождения там будет логироваться попытка параллельного прохождения. Если вдруг преподаватель разрешил прохождение с другого устройства, а студенту так и не удалось зайти в тест, значит где-то в другом месте в тест уже зашел его помощник. В этом случае нужно открывать логи, смотреть по ip, и наказывать студента за то, что дал кому-то логин/пароль
Re: Запрет доступа из вне института
Спасибо за пояснения про onesession
Re: Запрет доступа из вне института
quizaccess_onesession защищает от захода в другой сессии браузера, это не то же самое, что ограничение на число одновременных сессий в moodle.
Если запустить на студенческом компе прокси, то кроме того студент должен передать злоумышеннику cookie, содержащую идентификатор сессии, и должны быть полностью одинаковые браузеры. В целом, это всё действительно возможно, но на практике любая ошибка (например, не совпал номер версии браузера) приведет к тому, что залогируется попытка параллельного тестирования. Поэтому вероятность провернуть такое вообще без следов на обычном браузере ничтожно мала, а если давать студенту уже запущенный safeExamBrowser, то мне кажется вообще невозможно.
Прокси запустить несложно, приложения могут запускаться от любого пользователя, Но просто запустить прокси на компьютере недостаточно - нужно ещё открыть для него порт. В windows для этого требуется разрешение, поэтому если у студента на ваших компьютерах нет админских прав, то сделать это не получится. А если есть, то меняйте своих сисадминов, потому что так не должно быть.
Если запустить на студенческом компе прокси, то кроме того студент должен передать злоумышеннику cookie, содержащую идентификатор сессии, и должны быть полностью одинаковые браузеры. В целом, это всё действительно возможно, но на практике любая ошибка (например, не совпал номер версии браузера) приведет к тому, что залогируется попытка параллельного тестирования. Поэтому вероятность провернуть такое вообще без следов на обычном браузере ничтожно мала, а если давать студенту уже запущенный safeExamBrowser, то мне кажется вообще невозможно.
Прокси запустить несложно, приложения могут запускаться от любого пользователя, Но просто запустить прокси на компьютере недостаточно - нужно ещё открыть для него порт. В windows для этого требуется разрешение, поэтому если у студента на ваших компьютерах нет админских прав, то сделать это не получится. А если есть, то меняйте своих сисадминов, потому что так не должно быть.
Re: Запрет доступа из вне института
Про Машины с доверенной загрузкой. Не настолько необходимая мера, если вы действительно смотрите, чем там занимаются студенты. Чтобы загрузиться с альтернативного носителя и что-то подменить в ОС, нужно несколько минут, в течение которых компьютер будет выглядеть совсем не как обычно. Для этой меры среди прочего необходима установка на каждую машину пароля на биос. Разные пароли для разных машин - слишком замороченно в обслуживании / одинаковые - высокий риск утечки.
Про Запрет запуска левых приложений. Ограничить можно списком доверенных программ, но его нужно настраивать и поддерживать в актуальном состоянии - нужно много внимания от сисадминов. При этом точно ничего не выйдет, если в этом же классе занимаются программисты, которым на занятиях необходимо компилировать программы и их запускать. С моей точки зрения safeexambrowser достаточно хорошо справляется с задачей защиты от левого софта, если он запущен до того, как студент пришел в аудиторию и за студентами присматривают, чтобы не перезагружали компьютер. В случае safeexambrowser + onesession в случае перезагрузки компа не даст студенту незамечетно продолжить.
про Сеть на управляемый коммутаторах с обязательным применением 802.1X и Сегментация ip-сети для более эффективного применения фильтрации трафика уже писал "Технические способы защиты от таких ситуаций есть, типа умных свитчей с авторизацией на портах по сертификатам, или роутеров вместо свичей, которые могли бы по каждому порту разрешить только определенный ip, но такие решения обычно в локальных сетях не используются, из-за дороговизны, сложности настройки, ненужного усложнения инфраструктуры."
про Видеонаблюдение. Согласен полностью. Ну или просто смотреть, что делают студенты. Если не смотрите сами, и не фиксируете, не удивляйтесь, что списывают - просто сделают звонок другу и отфотают экран. Видеонаблюдение в класс для тестирования - это 2-4 ip-камеры, плюс хранилище для записи - по стоимости будет соизмеримо со стоимостью одного рабочего места в таком классе. Если класс именно для тестирования, точно стоит сделать.
про Административные меры по проверки фейса и документов на входе в аудиторию. Ну а это самой первой меры защиты должно быть, поскольку для этого ни технических знаний, ни материальных ресурсов вообще не требуется. Хотите экономить время преподавателя, чтобы не сидел со студентами во время тестирования - посадите лаборанта. Не хотите платить лаборанту - поставьте видеонаблюдение, за несколько месяцев окупится.
Re: Запрет доступа из вне института
Будьте внимательны - запись 10.3.71.1/20 неверная, этот диапазон шире чем в 10.3.71.* в 16 раз. Правильнее писать 10.3.71.1-20.
Кстати напомню, есть плагин ipaddresslist, чтобы не запоминать, в какой аудитории какой диапазон адресов, и не сделать в этом ошибку.
Причем включены раньше, чем компьютер злоумышленника? Я правильно понимаю? Или в случае конфликта адресов оба компьютера работать не будут?
К несчастью, нет. Всё зависит от оборудования, архитектуры сети, степени интеллектуальности коммутаторов. В каких-то случаях ос может выдавать сообщения о том, что есть конфликт. В каких-то случаях трафик будет поочередно идти то на одну машину, то на другую - то есть будет у обоих, но с перебоями.
Я не писал про пароль на тест - рекоммендация вроде как известная. При варианте пароль, который вводит на компьютере студента сам преподаватель, + onesession, можно вообще не использовать ограничения по ip, или ограничится каким-нибудь простым правилом, перечисляющим все компьютеры в локальной сети.
Помните, в инф. безопасности действует правило, затраты на безопасность не могут быть выше стоимости защищаемой информации. Нерационально тратить миллионы на организацию суперзащищенной сети и системы тестирования, если в текущей конфигурации только один студент из тысячи может обмануть систему. Мне кажется, варианты safeexam + onesession + ip или пароль, вводимый преподавателем + onesession + ip дают примерно такой уровень надежности.
Re: Запрет доступа из вне института
Спасибо, Вадим, что вы все уточнили.
Как именно записывать диапазон IP-адресов в параметрах теста (через слеш или черточку) контекстная справка Moodle 2 и 3 умалчивает, а вот в Moodle 1 об этом говорилось так:
В этом поле можно использовать три формы записи IP адресов:Так что, извините, я этой справкой руководствовался. Возможно она ошибочна.
1. Полный IP адрес конкретного компьютера (или прокси-сервера), например, 192.168.10.1.
2. Запись части IP адреса, например, 192.168., которая будет соответствовать всем компьютерам, находящимся в данной локальной сети, адреса которых начинаются этими числами.
3. Групповой IP адрес (CIDR), например, 231.54.211.0/20, соответствует группе компьютеров, имеющих адреса от 231.54.211.0 до 231.54.211.20.
В этом поле можно указать несколько адресов или диапазонов адресов, отделяя их запятыми. Пробелы при этом игнорируются. Например: 192.168.,231.54.211.0/20, 231.3.56.211
Re: Запрет доступа из вне института
Полагаю, есть решение проще. В настройках ставите "Количество попыток = 1", вход по паролю. От всех в комп.классе требуете открыть страницу теста к моменту его начала, пароль говорите в аудитории ровно во время начала теста. Можно самому убедиться, что все стартовали, а далее Вы свободны, а они пусть ...