5
Router mit 32 Ports die einzeln protokolliert werden?
Hallo zusammen,
das hier ist mein erster Beitrag, also nicht böse sein, wenn ich versehentlich irgendwelche Regeln missachte.
Ich wurde heute vor ein Problem gestellt, in dem ich mich noch nicht wirklich auskenne.
Hier in Lübeck wird ein Hotel neu eröffnet, in jedes der 28 Zimmer führt ein eigenes CAT 7-Kabel. Über dieses soll den Gästen ein Zugang zum Internet bereitgestellt werden, ein Zugang über WLAN oder Stromnetz kommen nicht in Frage. Die Kabel laufen sternförmig zusammen und können dadurch ja problemlos an einen Swich mit Router angeschlossen werden. Der Zugang zum Netz ist also kein Problem. Nun muss aber aus Sicherheitsgründen ja protokolliert werden, wer wann ins Netz gegangen ist und am besten auch, welche Adressen angesteuert wurden, für den Fall dass etwas illegales passiert und der Gastwirt haftbar gemacht werden soll.
Wie kann ich das bewerkstelligen? Am besten wäre natürlich eine Lösung, bei der das Gerät des Gastes einfach in die Dose des Zimmers gesteckt wird, die IP vom DHCP bekommt und losgelegt werden kann. Dann müsste eben die Dose oder der Port am Swich protokolliert werden.
Denkbar wäre auch ein System, bei der der Kunde Benutzernamen und Kennwort eingeben muss. Dabei darf aber keine Softwareinstallation nötig sein.
Es wäre super, wenn jemand eine Tip hat und mich auf den richtigen Weg schubsen könnte...
Vielen Dank im Voraus.
das hier ist mein erster Beitrag, also nicht böse sein, wenn ich versehentlich irgendwelche Regeln missachte.
Ich wurde heute vor ein Problem gestellt, in dem ich mich noch nicht wirklich auskenne.
Hier in Lübeck wird ein Hotel neu eröffnet, in jedes der 28 Zimmer führt ein eigenes CAT 7-Kabel. Über dieses soll den Gästen ein Zugang zum Internet bereitgestellt werden, ein Zugang über WLAN oder Stromnetz kommen nicht in Frage. Die Kabel laufen sternförmig zusammen und können dadurch ja problemlos an einen Swich mit Router angeschlossen werden. Der Zugang zum Netz ist also kein Problem. Nun muss aber aus Sicherheitsgründen ja protokolliert werden, wer wann ins Netz gegangen ist und am besten auch, welche Adressen angesteuert wurden, für den Fall dass etwas illegales passiert und der Gastwirt haftbar gemacht werden soll.
Wie kann ich das bewerkstelligen? Am besten wäre natürlich eine Lösung, bei der das Gerät des Gastes einfach in die Dose des Zimmers gesteckt wird, die IP vom DHCP bekommt und losgelegt werden kann. Dann müsste eben die Dose oder der Port am Swich protokolliert werden.
Denkbar wäre auch ein System, bei der der Kunde Benutzernamen und Kennwort eingeben muss. Dabei darf aber keine Softwareinstallation nötig sein.
Es wäre super, wenn jemand eine Tip hat und mich auf den richtigen Weg schubsen könnte...
Vielen Dank im Voraus.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 72484
Url: https://administrator.de/contentid/72484
Printed on: April 23, 2024 at 06:04 o'clock
5 Comments
Latest comment
Als allererstes brauchst du mal einen Switch und nicht einen Router wie du oben schreibst, denn der ist sinnlos in so einem Szenario aber das wirst du selber schon erkannt haben.. ?!
Zum Thema Switch ist es wichtig das du einen anschaffst der sog. private VLANs supportet oder einen dedizierten Uplink Port.
Das verhindert zuverlässig das eine any to any Kommunikation zwischen Gästen möglich ist und Gäste andere Gäste ausspionieren oder hacken können, denn mit einem dummen, nicht PVLAN fähigen Layer 2 Switch sind ja alle Gäste transparent in einem IP Netz.
Es gibt 2 Lösungen für die Authentifizierung:
1.) Einen Proxy Server wie z.B. den Squid Proxy. Dort muss sich jeder Benutzer authentifizieren und über die Logs bekommst du genau mit wer, wie lange, wohin gesurft hat. Infos zum Squid Proxy findest du hier:
http://www.squid-handbuch.de/hb/
Der Proxy hat aber den Nachteil das ggf. ein Teil der Benutzer nicht durchkommt mit VPN Protokollen die z.B. auf IPsec basieren (wenn Gäste z.B. remote auf Ihre Firmennetze zugreifen um dort Emails zu ziehen etc.) und auch andere direkte Dienste wie die Email Protokolle POP und IMAP da der Proxy meist nur FTP und HTTP bzw. HTTPS macht. Du kannst also in der Hauptsache nur webbasierende Dienste nutzen, bist deshalb auch bei Email auf Webinterfaces angewiesen was sicher nicht jeder Gast hat.
Hier musst du abwägen zwischen (rechtlicher) Sicherheit und Komfort..
2.) Möglichkeit 2 macht das etwas transparenter indem du ein sog. Captive Portal statt eines Proxys vor deinen Internet Zugang schaltest. Freeware Lösungen die das können sind z.B. M0n0wall und Zeroshell. Dort bekommst du einen Zwangswebseite z.B. mit Grafiken und lokalen Infos des Hotels präsentiert wenn du den Browser eröffnest und musst dich authentifizieren, was über einen lokalen Radius Server auf den Captive Portals gemacht wird. Auch hier hast du wieder die Möglichkeit über Logs zu protokollieren wer, wann, was macht.
Bei einem WLAN im Hotel hat man so nicht die Konfrontation mit Verschlüsselungsproblematiken und kann ohne Authentifizierung interne Seiten mit Hotel und lokalen Infos frei anzeigen und nur die ohne Authentifizierung. Mit hast du dann Zugriff aufs Internet. Genau so ein Verfahren wie du es von HotSpots auf Flughäfen und Bahnhöfen kennst.
Mit Authentifizierung ist der Zugang dann wie bereits gesagt transparent.
Sehr komfortabel ist sowas wenn man das noch mit einer SW kombinert die zeitlich begrenzte Einmalpasswörter vergibt nach dem Checkin oder per Automat. Auch sowas ist damit problemlos möglich...
Auch eine Kombination beider Verfahren ist denkbar, meist aber dann zuviel des Guten da zu kompliziert zu bedienen für die meisten Gäste...
Zum Thema Switch ist es wichtig das du einen anschaffst der sog. private VLANs supportet oder einen dedizierten Uplink Port.
Das verhindert zuverlässig das eine any to any Kommunikation zwischen Gästen möglich ist und Gäste andere Gäste ausspionieren oder hacken können, denn mit einem dummen, nicht PVLAN fähigen Layer 2 Switch sind ja alle Gäste transparent in einem IP Netz.
Es gibt 2 Lösungen für die Authentifizierung:
1.) Einen Proxy Server wie z.B. den Squid Proxy. Dort muss sich jeder Benutzer authentifizieren und über die Logs bekommst du genau mit wer, wie lange, wohin gesurft hat. Infos zum Squid Proxy findest du hier:
http://www.squid-handbuch.de/hb/
Der Proxy hat aber den Nachteil das ggf. ein Teil der Benutzer nicht durchkommt mit VPN Protokollen die z.B. auf IPsec basieren (wenn Gäste z.B. remote auf Ihre Firmennetze zugreifen um dort Emails zu ziehen etc.) und auch andere direkte Dienste wie die Email Protokolle POP und IMAP da der Proxy meist nur FTP und HTTP bzw. HTTPS macht. Du kannst also in der Hauptsache nur webbasierende Dienste nutzen, bist deshalb auch bei Email auf Webinterfaces angewiesen was sicher nicht jeder Gast hat.
Hier musst du abwägen zwischen (rechtlicher) Sicherheit und Komfort..
2.) Möglichkeit 2 macht das etwas transparenter indem du ein sog. Captive Portal statt eines Proxys vor deinen Internet Zugang schaltest. Freeware Lösungen die das können sind z.B. M0n0wall und Zeroshell. Dort bekommst du einen Zwangswebseite z.B. mit Grafiken und lokalen Infos des Hotels präsentiert wenn du den Browser eröffnest und musst dich authentifizieren, was über einen lokalen Radius Server auf den Captive Portals gemacht wird. Auch hier hast du wieder die Möglichkeit über Logs zu protokollieren wer, wann, was macht.
Bei einem WLAN im Hotel hat man so nicht die Konfrontation mit Verschlüsselungsproblematiken und kann ohne Authentifizierung interne Seiten mit Hotel und lokalen Infos frei anzeigen und nur die ohne Authentifizierung. Mit hast du dann Zugriff aufs Internet. Genau so ein Verfahren wie du es von HotSpots auf Flughäfen und Bahnhöfen kennst.
Mit Authentifizierung ist der Zugang dann wie bereits gesagt transparent.
Sehr komfortabel ist sowas wenn man das noch mit einer SW kombinert die zeitlich begrenzte Einmalpasswörter vergibt nach dem Checkin oder per Automat. Auch sowas ist damit problemlos möglich...
Auch eine Kombination beider Verfahren ist denkbar, meist aber dann zuviel des Guten da zu kompliziert zu bedienen für die meisten Gäste...
Wow,
ersteinmal vielen Dank für die schnelle Antwort und die viele Mühe, die Du Dir gegeben hast.
Ich bin gerade zu der Erkenntnis gekommen, dass das ganz doch mehr Aufwand ist, als gedacht. Aber sei es drum. Ich werde mir Deine Vorschläge mal durcharbeiten und ein kleines Netzwerk zusammenstellen, in dem ich das dann testen kann. Ich hoffe, dass ich soetwas in den nächsten Tagen hinbekomme und schreibe dann mal, was dabei herausgekommen ist...oder auch nicht... Dann nerve ich hier halt mit weiteren Fragen.
Wie gesagt, vielen Dank!
LG
Philipp
ersteinmal vielen Dank für die schnelle Antwort und die viele Mühe, die Du Dir gegeben hast.
Ich bin gerade zu der Erkenntnis gekommen, dass das ganz doch mehr Aufwand ist, als gedacht. Aber sei es drum. Ich werde mir Deine Vorschläge mal durcharbeiten und ein kleines Netzwerk zusammenstellen, in dem ich das dann testen kann. Ich hoffe, dass ich soetwas in den nächsten Tagen hinbekomme und schreibe dann mal, was dabei herausgekommen ist...oder auch nicht... Dann nerve ich hier halt mit weiteren Fragen.
Wie gesagt, vielen Dank!
LG
Philipp
Hallo nochmal,
noch ein kurzer Kommentar zum vorläufigen Abschluss...
Leider wurde das Projekt, zumindest vorläufig, auf Eis gelegt. Daher kann ich hier leider keine Erfahrungswerte oder Ergebnisse angeben. Ich möchte hier im Forum aber nicht gleich den Ruf haben, eine Frage zu stellen, die ich dann nie beantworte oder auch gar nicht benötige.
Daher also vorerst vielen Dank für die Antwort, die mich zumindest schlauer gemacht hat, auch wenn ich sie nie umgesetzt habe.
LG
Philipp
noch ein kurzer Kommentar zum vorläufigen Abschluss...
Leider wurde das Projekt, zumindest vorläufig, auf Eis gelegt. Daher kann ich hier leider keine Erfahrungswerte oder Ergebnisse angeben. Ich möchte hier im Forum aber nicht gleich den Ruf haben, eine Frage zu stellen, die ich dann nie beantworte oder auch gar nicht benötige.
Daher also vorerst vielen Dank für die Antwort, die mich zumindest schlauer gemacht hat, auch wenn ich sie nie umgesetzt habe.
LG
Philipp
Hallo!
Auch wenn der Thread nicht mehr wirklich aktuell ist, würde mich interessieren, wie man das Loggen für authentifizierte User in m0n0wall aktiviert.
Habe ein ähnliches Projekt wie phino-edv.
m0n0wall mit Captive Portal läuft - Authentifizierung über lokale User-Liste, aber in den, über die GUI zugänglichen Logs finde ich keine Informationen zu geöffneten Internetseiten.
Gerade vor dem Hintergrund der vorgeschriebenen Vorratsdatenspeicherung wird dieses Thema sicherlich in Zukunft noch andere Admins und HotSpot Betreiber, die M0n0wall nutzen, interessieren.
Also, immer her mit Links und Tips und Anleitungen
Gruß
jlepscheid
Auch wenn der Thread nicht mehr wirklich aktuell ist, würde mich interessieren, wie man das Loggen für authentifizierte User in m0n0wall aktiviert.
Habe ein ähnliches Projekt wie phino-edv.
m0n0wall mit Captive Portal läuft - Authentifizierung über lokale User-Liste, aber in den, über die GUI zugänglichen Logs finde ich keine Informationen zu geöffneten Internetseiten.
Gerade vor dem Hintergrund der vorgeschriebenen Vorratsdatenspeicherung wird dieses Thema sicherlich in Zukunft noch andere Admins und HotSpot Betreiber, die M0n0wall nutzen, interessieren.
Also, immer her mit Links und Tips und Anleitungen
Gruß
jlepscheid
